Um escaneamento recente em repositórios públicos do GitLab revelou um cenário preocupante: mais de 17 mil credenciais sensíveis estavam expostas, incluindo chaves de API, tokens de autenticação, dados de acesso a bancos de dados e informações confidenciais de serviços em nuvem. O levantamento analisou aproximadamente 5,6 milhões de projetos públicos hospedados na plataforma. As descobertas vieram após uma varredura automatizada conduzida com o TruffleHog, uma ferramenta especializada em identificar “segredos” dentro de códigos-fonte.
No total, foram identificados 17.430 segredos ativos, distribuídos entre cerca de 2.800 domínios únicos, muitos deles associados a serviços corporativos amplamente utilizados. Entre os dados encontrados estavam credenciais da Google Cloud Platform (GCP), tokens da API do Telegram, chaves privadas de bancos de dados como MongoDB, chaves da OpenAI e até credenciais de acesso à própria infraestrutura do GitLab. O risco é alto: com essas informações em mãos, invasores podem comprometer servidores, manipular dados, acessar recursos em nuvem e até iniciar ataques à cadeia de fornecimento. Esses segredos foram detectados em repositórios públicos, ou seja, acessíveis a qualquer pessoa com conexão à internet.
O cenário escancara a falta de controle no uso de credenciais dentro do código e evidencia a urgência de medidas corretivas por parte de desenvolvedores e equipes DevOps. O caso destaca um problema persistente em ambientes de desenvolvimento modernos, em que o uso contínuo de ferramentas automatizadas e integrações externas frequentemente resulta em exposição de dados sensíveis. A facilidade de compartilhamento e a pressa por agilidade nos ciclos de entrega acabam contribuindo para práticas inseguras e repositórios mal gerenciados.
