バグバウンティハンティング用に開発されたツール「iScan」は、これまでに10万ドル以上の報奨金を獲得しています。
当初は「Google所有」のリポジトリに紐付けられたGitHubトークンが使われていましたが、後に他のバウンティハンターにも利用されました。
当初の報奨金は500ドルでしたが、精査を重ねた結果、5000ドルに増額されました。
このツールの内部には、GitHubやその他のプラットフォームから入手した有効なシークレットが含まれていました。
特に注目すべき点は、これらのシークレットのいくつかがgithub.npm.nm.nlを通じて漏洩していたことです。
コメント