Interfejs API Travis CI wycieka tysiące tokenów użytkowników, umożliwiając cyberprzestępcom łatwy dostęp do poufnych danych na GitHub, AWS i Docker Hub, zgodnie z nowym raportem zespołu Nautilus zajmującego się cyberbezpieczeństwem Aqua Security.
Travis CI to hostowana usługa ciągłej integracji, której programiści mogą używać do tworzenia i testowania projektów oprogramowania hostowanych w serwisach GitHub i Bitbucket.
Według Team Nautilus dziesiątki tysięcy tokenów użytkowników są udostępniane za pośrednictwem interfejsu API, umożliwiając prawie każdemu swobodny dostęp do zapisów historycznych w postaci zwykłego tekstu. W tych rekordach ponad 770 milionów z nich (wszystkie należą do użytkowników bezpłatnego poziomu) to tokeny, sekrety i inne dane uwierzytelniające, których hakerzy mogą używać do poruszania się w chmurze i przeprowadzania różnych cyberataków, takich jak ataki łańcuchowe. .
Zaalarmowani dostawcy usług
Travis CI nie wydaje się zbytnio zaniepokojony tym problemem, ponieważ Nautilus oświadczył, że ujawnił zespołowi swoje ustalenia i powiedziano mu, że problem jest „z założenia”.
„Wszyscy użytkownicy bezpłatnej warstwy Travis CI są potencjalnie zagrożeni, dlatego zalecamy natychmiastową rotację kluczy” – ostrzegają naukowcy.
Chociaż Travis CI nie wydaje się tym nadmiernie zaniepokojony, dostawcy usług są. Prawie wszyscy, jak mówi Nautilus, byli zaniepokojeni i szybko zareagowali szerokimi zakrętami. Niektórzy potwierdzili, że co najmniej połowa wyników jest nadal aktualna.
Dostępność tych danych uwierzytelniających programistów stanowi „ciągły problem co najmniej od 2015 r.” – zauważyła Ars Technica.
Siedem lat temu HackerOne poinformował, że jego konto GitHub zostało naruszone po tym, jak Travis CI ujawnił token jednego z jego programistów. Podobny scenariusz miał miejsce jeszcze dwa razy później, raz w 2019 i raz w 2020, jak wynika z publikacji.
Travis CI nie skomentował nowych ustaleń, a ponieważ wcześniej stwierdził, że jest to „z założenia”, prawdopodobnie tego nie zrobi. Zaleca się, aby programiści od czasu do czasu proaktywnie zmieniali tokeny dostępu i inne dane uwierzytelniające.
Przez: Ars Technica (Otwiera się w nowej zakładce)