Travis CI API läcker tusentals användartokens, vilket gör att hotaktörer enkelt kan komma åt känslig data på GitHub, AWS och Docker Hub, enligt en ny rapport från Aqua Securitys cybersäkerhetsarm, Team Nautilus.
Travis CI är en värd kontinuerlig integrationstjänst, som utvecklare kan använda för att bygga och testa programvaruprojekt på GitHub och Bitbucket.
Enligt Team Nautilus exponeras tiotusentals användartokens genom API:t, vilket gör att nästan vem som helst har fri tillgång till historiska uppgifter i vanlig text. I dessa register är mer än 770 miljoner av dem (alla tillhörande gratisnivåanvändare) tokens, hemligheter och andra referenser som hackare kan använda för att röra sig i sidled i molnet och starta olika cyberattacker, såsom kedja-av-kedja-attacker försörjning.
Larmerade tjänsteleverantörer
Travis CI verkar inte vara så oroad över problemet, eftersom Nautilus sa att det avslöjade sina resultat för teamet och fick höra att problemet var "genom design".
"Alla användare på den kostnadsfria nivån av Travis CI är potentiellt i riskzonen, så vi rekommenderar att du roterar dina nycklar omedelbart," varnade forskarna.
Även om Travis CI inte verkar vara så bekymrad över detta, är tjänsteleverantörer det. Nästan alla, berättar Nautilus, blev oroliga och svarade snabbt med breda nyckelvridningar. Vissa verifierade att minst hälften av resultaten fortfarande var giltiga.
Tillgängligheten av dessa utvecklaruppgifter har varit ett "pågående problem sedan åtminstone 2015", noterade Ars Technica.
För sju år sedan rapporterade HackerOne att dess GitHub-konto äventyrades efter att Travis CI avslöjat en token för en av dess utvecklare. Ett liknande scenario inträffade ytterligare två gånger senare, en gång 2019 och en gång 2020, enligt publikationen.
Travis CI har inte kommenterat de nya fynden, och eftersom han tidigare sa att det var "genom design", kommer han troligen inte att göra det. Utvecklare rekommenderas att proaktivt rotera åtkomsttokens och andra referenser då och då.
Via: Ars Technica (öppnas i en ny flik)