Investigadores de seguridad han identificado una falla crítica en la forma en que los programas de bug bounty gestionan la exposición de credenciales, descartando con frecuencia claves API de alto riesgo como 'fuera de alcance' (out of scope), a pesar de su potencial para provocar filtraciones masivas de datos.
Según un informe de Cremit, se presentaron dos casos distintos en los que claves de nivel administrativo permanecieron en texto plano en repositorios públicos de GitHub. En uno de ellos, un token de Slack Bot estuvo expuesto durante tres años, permitiendo el acceso a canales sensibles de la empresa, archivos y directorías de usuarios.
A pesar de que el token proporcionaba un mapa completo de toda la infraestructura tecnológica de la organización, el programa de bug bounty de la empresa clasificó el hallazgo como 'fuera de alcance'.
En un segundo caso, se descubrió una clave de la API de administrador de Asana con permisos completos de lectura y escritura tras dos años de exposición. La clave pertenecía a una filial que había sido integrada en una organización matriz. Esta última también desestimó el informe por considerarlo 'fuera de alcance', debido a que el activo provenía de una entidad distinta.
El fallo estructural del alcance
Cremit informa que ambas organizaciones tomaron medidas para rotar las claves tras la divulgación, a pesar de que oficialmente negaron la validez del informe. Esta contradicción sugiere que las empresas gestionan activamente los riesgos mientras, simultáneamente, se niegan a reconocerlos a través de los canales formales de seguridad.
'Se reconoció el riesgo, se aprovechó el valor de la divulgación y, sin embargo, la clasificación oficial se mantuvo como "fuera de alcance"', señala el informe.
Este patrón de descartar credenciales por estar 'fuera de alcance' ignora la realidad de las brechas de seguridad modernas. El medio cita el caso de Toyota, que expuso una clave de acceso durante cinco años lo que derivó en la filtración de más de 296,000 registros de clientes, y la brecha de Uber en 2016, originada por credenciales de AWS integradas directamente en el código en GitHub.
Los datos de GitGuardian muestran que la magnitud del problema se está acelerando. El informe señala que en 2024 se detectaron 23.8 millones de secretos en GitHub público, lo que representa un aumento del 25% interanual.
Los investigadores sostienen que el modelo actual de bug bounty está fundamentalmente roto. Si bien estos programas están diseñados para hallar vulnerabilidades a nivel de código, como la inyección SQL, están fallando al no abordar la creciente amenaza de la exposición de identidades no humanas (NHI, por sus siglas en inglés).
