Alta
Posible hardcoded_password hardcoded en repo público que menciona mindeporte.gov.co
Categoría
Secretos expuestos
Confianza
probable
Observado
2026-05-01
OWASP
A02:2021 — Cryptographic Failures
Resumen
GitHub code search detecta patron 'hardcoded_password' en SANTIAGORF24/backend_registros (app/routes/ticket_routes.py). Fragmento: SMTP_SERVER = 'smtp.office365.com' SMTP_PORT = 587 SMTP_USERNAME = 'soportetics@mindeporte.gov.co' SMTP_PASSWORD = '#B0g0t0@2024*' bp = Blueprint("tickets", __name__, url_prefix="/tickets")
Por qué importa
Codigo publico que menciona el dominio + patron tipo credencial sugiere fuga de secretos a traves de repos personales/contratistas. Validar manualmente si el secreto sigue activo o ya fue rotado.
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.