Hallazgosgh-min-deporte-01
Alta

Posible hardcoded_password hardcoded en repo público que menciona mindeporte.gov.co

Categoría

Secretos expuestos

Estado

Activo

Confianza

probable

Observado

2026-05-01

OWASP

A02:2021 — Cryptographic Failures

Resumen

Busqueda publica de codigo detecto una posible credencial SMTP hardcodeada asociada a mindeporte.gov.co en un repositorio de terceros. El valor sensible se omite de la ficha publica; la entidad debe verificar exposicion, revocar/rotar credenciales y revisar historial del repositorio.

Por qué importa

Credenciales expuestas en repositorios publicos pueden permitir acceso no autorizado a servicios institucionales. La ficha publica no reproduce secretos y debe usarse solo como indicador para verificacion y rotacion segura.

Trazabilidad

Primera aparición

2026-05-01

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings.json2026-05-01
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
  • Auditar logs de uso de la credencial para identificar accesos no autorizados.
  • Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
  • Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.

Entidades afectadas (1)

ID: gh-min-deporte-01·Origen: GitHub code search