Статья OSINT на GitHub и Pastebin: как находить логи, токены, API-ключи

GitHub и Pastebin — одни из самых популярных мест, где по ошибке (или неосторожности) публикуются приватные данные: токены, пароли, ключи доступа к API, приватные логи, SQL-дампы и даже доступы к prod-серверам.

OSINT-исследователи и багбаунти-хантеры научились использовать это как полноценный инструмент разведки.
​

Что можно найти​

• API-ключи от Telegram, Google, Discord, AWS, GitHub, Stripe
• Логи авторизации, ошибок, чатов
• SQL-дампы с email, паролями и именами
• .env-файлы с конфигурациями прод-серверов
• Файлы с паролями, токенами OAuth, JWT
• Компрометированные конфиги: nginx.conf, wp-config.php, settings.py

🛠 Инструменты для поиска на GitHub​

• GitHub CodeQL — продвинутая система анализа кода.
• TruffleHog — ищет секреты в коммитах Git.
• TruffleHog v2 (legacy) — поиск по ключевым словам и RegEx.
• GitHub-Dorks — список dork-запросов и словарей для GitHub.
• github-search (CLI) — быстрый парсинг ключей и логинов.

Полезные GitHub Dork-запросы​

• filename:.env DB_PASSWORD
• filename:wp-config.php "DB_PASSWORD"
• filename:.git-credentials
• filename:config.json "token"
• extension:log password
• extension:sql intext:"INSERT INTO users"
• "Authorization: Bearer" language:python

Поиск через Pastebin​

Pastebin используется для временного хранения текста — но туда нередко попадают токены, сливы переписок, приватные ключи.
И хотя Pastebin ограничил индексацию, Google Dorking всё ещё работает.

Примеры:​

• site:pastebin.com intext:"apikey="
• site:pastebin.com "Authorization: Bearer"
• site:pastebin.com intext:"@gmail.com" intext:пароль
• site:pastebin.com intext:"BEGIN RSA PRIVATE KEY"

Примеры кейсов из практики​

• Разработчик выложил .env файл с токеном Telegram-бота: найдено через GitHub search → взлом бота.
• 🗂 На Pastebin обнаружен лог с авторизацией в CRM: логин:пароль, сессия, IP.
• Найден API-ключ AWS с правами S3-write: использовался в открытoм JS-файле → подтверждённый багбаунти.

Что делать с найденным​

• Если это твой проект — срочно ревизия + Git-секреты в .gitignore
• Если участвуешь в багбаунти — сообщи через программу
• Нельзя использовать найденные токены для получения доступа: это не OSINT, а взлом
• Не выкладывай найденное публично — даже если случайно

Комбинируем OSINT и GitHub​

Часто за GitHub-репозиторием стоит конкретный человек или команда. Используй:

• Имя в коммитах → поиск в LinkedIn, VK, Telegram
• Email из git config → утечки паролей
• README → упоминания прод-ссылок или доменов
• Код → переменные вроде api_key = ... или secret = "..."

Всё это расширяет портрет цели и помогает найти слабые места в безопасности.​

Заключение​

GitHub и Pastebin — это OSINT-арсенал, который стоит использовать при:

• Аудите безопасности компаний
• Проверке своих собственных проектов
• Поиске следов скомпрометированных сервисов
• Участии в багбаунти

Важно помнить: даже один токен — это "цифровая улика", а для опытного исследователя — путь к целому расследованию.​