Когда одна ветка репозитория позволяет получить ценные данные из другой удаленной или приватной ветки, мы имеем дело с новым вектором атаки: Cross Fork Object Reference (CFOR).
По аналогии с уязвимостями небезопасные прямые ссылки на объект, атакующий использует хэши коммитов, чтобы напрямую получить доступ к данным в этих коммитах. Даже если коммит содержится в удаленном или приватном репозитории. Атакующему остается только узнать хэш коммита. Как?
GitHub позволяет использовать короткие значения хэшей SHA-1, которые можно просто подобрать методом простого перебора. К примеру, вместо длинной ссылки:
github.com///commit/07f01e8337c1073d2c45bb12d688170fcd44c637
Можно использовать короткую ссылку:
github.com///commit/07f01e
где 07f01e — короткий хэш. Его можно подобрать через пользовательский интерфейс GitHub. А уже после получения доступа к коммитам, атакующий приступает к поиску секретов.
GitHub в курсе данной проблемы и не планирует исправление, потому что это не баг, а фича.