GitHub estuvo a punto de ser hackeado a través de una "sandbox": una lección sobre por qué no confiar en los IDEs del navegador
Es difícil imaginar hasta qué punto podría llegar el caos.
En populares entornos de desarrollo en la nube, donde los programadores ensamblan rápidamente prototipos directamente en el navegador, se detectó un problema inesperado. Una comprobación a gran escala mostró que miles de proyectos contienen claves de acceso activas y otros datos sensibles que permanecen expuestos durante años.
El especialista en seguridad Ben Zimmerman analizó más de 22 millones de proyectos públicos en las plataformas CodeSandbox, StackBlitz, CodePen y JSFiddle. Con la herramienta TruffleHog se confirmó la filtración de 8792 secretos únicos. Se trata de claves de API, tokens de acceso y otros datos que otorgan acceso directo a la infraestructura de las empresas. La suma total de las recompensas por los problemas encontrados superó los 20.000 dólares.
El caso más grave se relaciona con un token de un empleado de GitHub, encontrado en uno de los proyectos de CodeSandbox. La clave otorgaba permisos de escritura en el repositorio github/github, donde se guarda el código fuente de la propia plataforma. Con ese acceso, un atacante podría interferir en los flujos de trabajo, modificar el código u organizar un ataque a la cadena de suministro. El problema se informó a través del programa Bug Bounty, tras lo cual GitHub cerró la vulnerabilidad.
En otros casos se encontraron accesos a la infraestructura de grandes empresas. Un token de un empleado de Home Depot permitía gestionar decenas de repositorios y realizar cambios en cientos de proyectos. También se descubrió una clave SSH privada vinculada a un empleado de Red Hat, que abría la posibilidad de modificar el código en el repositorio relacionado con OpenShift Dev Spaces.
El análisis mostró que el problema es sistémico. A diferencia de GitHub y GitLab, esas plataformas no verifican los proyectos en busca de secretos ni bloquean la publicación de datos peligrosos. Si un desarrollador inserta accidentalmente una clave en el código y publica el proyecto como público, la información permanece accesible hasta que se elimina manualmente.
Las filtraciones ocurren con mayor frecuencia en CodeSandbox, donde se crean aplicaciones completas con parte de servidor e integraciones. En CodePen hay menos casos de este tipo, ya que el servicio se usa principalmente para demostraciones de frontend. No obstante, la gran cantidad de proyectos convierte incluso filtraciones poco frecuentes en una amenaza notable.
Los datos muestran un aumento del problema: en 2025 el número de filtraciones confirmadas fue más del doble que el año anterior. Los proyectos vulnerables más antiguos datan de 2018 y todavía permanecen expuestos.
Las conclusiones del estudio son simples: donde se escribe código, casi inevitablemente aparecen secretos. Si las plataformas no implementan protección automática, la responsabilidad recae en los desarrolladores. Revisar los proyectos públicos y cambiar las claves comprometidas siguen siendo la única forma rápida de reducir el riesgo.