Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h.

📊 Résultats clés

• Échelle: ~5,6 M de dépôts scannés sur GitLab; comparaison Bitbucket: ~2,6 M.
• Découvertes: 17 430 secrets valides sur GitLab vs 6 212 sur Bitbucket, soit ~35 % de densité de fuites par dépôt en plus côté GitLab.
• Temporalité: plateau des expositions sur Bitbucket depuis 2018, mais « explosion » sur GitLab, probablement corrélée à la montée de l’IA et la prolifération de clés API.
• Ancienneté: des « zombie secrets » toujours valides jusqu’à des commits datés du 16/12/2009.
• Types de secrets: GCP est la catégorie la plus fuitée; environ 1 dépôt sur 1 060 contenait des identifiants GCP valides.
• Localité de plateforme: 406 clés GitLab valides trouvées sur GitLab contre 16 sur Bitbucket (≈25×), illustrant que les secrets d’une plateforme fuient majoritairement sur cette même plateforme.
• Cas marquant: un token Slack attribué à une organisation (confirmé via l’URL d’équipe et page de login Okta) classé P1 et rémunéré 2 100 $.