Una nuova web app, detta "Shhgit", consente di scansionare i repository di codice su GitHub alla ricerca di dati sensibili, come chiavi private di wallet per criptovalute.

Scansionare GitHub alla ricerca di password e chiavi private

In data 17 ottobre, il programmatore ed esperto di sicurezza Paul Price ha introdotto il suo nuovo strumento: Shhgit. Questo software scansiona i repository pubblici alla ricerca di informazioni riservate, che a volte finiscono nelle mani di malintenzionati e rappresentano un grave rischio per la sicurezza.

Price spiega che cercare dati potenzialmente pericolosi su GitHub non è una novità. Secondo il programmatore, esistono già svariati strumenti open-source, come gitrob e truggleHog, che "scavano nella cronologia dei commit per trovare token segreti da specifici repository, utenti o organizzazioni."

L'uomo sottolinea inoltre che gli sviluppatori di software, che a volte inseriscono per errore informazioni sensibili all'interno del proprio codice pubblico, dovrebbero prestare maggiore attenzione a questo genere di sviste. Come minimo, spiega Price, "i file di configurazione dovrebbero essere crittografati con una environment-based key."

La scansione dei repository su GitHub alla ricerca di segreti è una pratica che esiste sin dal lancio dalla piattaforma. Tuttavia alcune recenti violazioni della sicurezza, come l'attacco hacker ai danni di Capital One che ha reso pubblici i dati personali di oltre 100 milioni di utenti, dimostra le conseguenze potenzialmente catastrofiche di tali errori.

Price sostiene che il suo strumento riesce ad individuare la pubblicazione accidentale di dati sensibili in tempo reale, fornendo agli sviluppatori il tempo necessario per eliminare tali informazioni prima che vengano scovate dagli hacker.