Interfejs API Travis CI wycieka tysiące tokenów użytkowników, umożliwiając cyberprzestępcom łatwy dostęp do poufnych danych na GitHub, AWS i Docker Hub, zgodnie z nowym raportem zespołu Nautilus zajmującego się cyberbezpieczeństwem Aqua Security.

Travis CI to hostowana usługa ciągłej integracji, której programiści mogą używać do tworzenia i testowania projektów oprogramowania hostowanych w serwisach GitHub i Bitbucket.

Według Team Nautilus dziesiątki tysięcy tokenów użytkowników są udostępniane za pośrednictwem interfejsu API, umożliwiając prawie każdemu swobodny dostęp do zapisów historycznych w postaci zwykłego tekstu. W tych rekordach ponad 770 milionów z nich (wszystkie należą do użytkowników bezpłatnego poziomu) to tokeny, sekrety i inne dane uwierzytelniające, których hakerzy mogą używać do poruszania się w chmurze i przeprowadzania różnych cyberataków, takich jak ataki łańcuchowe. .

Zaalarmowani dostawcy usług

Travis CI nie wydaje się zbytnio zaniepokojony tym problemem, ponieważ Nautilus powiedział, że ujawnił swoje odkrycia zespołowi i powiedziano mu, że problem był „z założenia”.

„Wszyscy użytkownicy bezpłatnej warstwy Travis CI są potencjalnie zagrożeni, dlatego zalecamy natychmiastową rotację kluczy” – ostrzegają naukowcy.

Chociaż Travis CI nie wydaje się tym nadmiernie zaniepokojony, dostawcy usług są. Prawie wszyscy, jak mówi Nautilus, byli zaniepokojeni i szybko zareagowali szerokimi zakrętami. Niektórzy potwierdzili, że co najmniej połowa wyników jest nadal aktualna.

Dostępność tych danych uwierzytelniających programistów jest „trwającym problemem od co najmniej 2015 roku” – zauważyła firma Ars Technica.

Siedem lat temu HackerOne poinformował, że jego konto GitHub zostało naruszone po tym, jak Travis CI ujawnił token jednego z jego programistów. Podobny scenariusz miał miejsce jeszcze dwa razy później, raz w 2019 i raz w 2020, jak wynika z publikacji.

Travis CI nie skomentował nowych odkryć, a biorąc pod uwagę, że wcześniej powiedział, że było to „zaprojektowane”, prawdopodobnie tego nie zrobi. Zachęcamy programistów do proaktywnej rotacji tokenów dostępu i innych danych uwierzytelniających od czasu do czasu.

Przez: Ars Technica (Otwiera się w nowej zakładce)

Udostępnij to