[데일리시큐]깃허브 ‘삭제된 커밋’서 여전히 노출되는 계정정보…개발자들 주의

내용 요약

유명 화이트해커가 GitHub 저장소에서 강제 푸시로 삭제된 커밋을 추적하여 수천 개의 민감한 자격 증명을 회수하고, 이를 제보해 2만 5천 달러의 보상금을 받았습니다. GitHub 이벤트 API와 GH 아카이브를 활용하여 삭제된 커밋 기록을 복구하고, TruffleHog 기반 스캐너를 통해 자격 증명을 찾아냈습니다. 이는 개발자들이 삭제되었다고 생각한 커밋 기록이 실제로는 남아있을 수 있음을 보여주는 사례입니다.

핵심 포인트

• 강제 푸시(Force Push)로 삭제된 커밋에서 민감한 자격 증명 유출 가능성 확인
• GitHub 이벤트 API와 GH 아카이브를 이용한 삭제된 커밋 추적 기법 활용
• TruffleHog 기반 스캐너를 통한 자격 증명 검색
• 개발자들의 삭제된 커밋에 대한 보안 인식 제고 필요성 강조
• 2만 5천 달러의 버그 바운티 지급

기술 세부 내용

1️⃣ GitHub 강제 푸시 (Force Push)

• 로컬 저장소의 변경 사항을 원격 저장소에 강제로 덮어쓰는 Git 명령어.
• git push --force 또는 git push --force-with-lease 명령어를 사용.
• 협업 과정에서 히스토리 불일치를 야기할 수 있어 주의가 필요.
• 이번 사례처럼 이전 커밋을 삭제하는 데 사용될 수 있지만, 실제로는 모든 데이터가 삭제되는 것은 아님.

2️⃣ GitHub 이벤트 API

• GitHub에서 발생하는 다양한 이벤트(푸시, 풀 리퀘스트, 이슈 생성 등)에 대한 정보를 제공하는 API.
• 화이트해커는 이 API를 활용하여 강제 푸시 이벤트를 실시간으로 모니터링하고, ‘이전 커밋 해시’ 정보를 수집.
• 이를 통해 삭제된 것으로 간주되는 커밋에 접근 가능.

3️⃣ GH 아카이브

• GitHub 저장소의 전체 내용을 다운로드할 수 있는 기능.
• 특정 시점의 스냅샷을 .zip 또는 .tar.gz 파일 형태로 제공.
• 화이트해커는 GitHub 이벤트 API에서 얻은 ‘이전 커밋 해시’를 이용해 GH 아카이브에서 삭제된 커밋 데이터를 복원.

4️⃣ TruffleHog

• 소스 코드 및 Git 히스토리에서 API 키, 자격 증명, 비밀번호와 같은 민감한 정보를 검색하는 오픈소스 도구.
• 엔트로피 검사, 정규 표현식 매칭 등 다양한 기법을 사용하여 민감 정보 탐지.
• 화이트해커는 TruffleHog 기반 스캐너를 사용, 복원된 커밋 데이터에서 유출된 자격 증명을 발견.

5️⃣ 버그 바운티 (Bug Bounty)

• 기업이나 단체가 소프트웨어의 취약점을 찾아 제보한 사람에게 보상금을 지급하는 제도.
• 취약점의 심각도에 따라 보상 금액이 결정.
• 이번 사례에서 화이트해커는 발견한 취약점을 제보하고 2만 5천 달러의 보상금을 받음.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167738