Travis CI API läcker tusentals användartokens, vilket gör att hotaktörer enkelt kan komma åt känslig data på GitHub, AWS och Docker Hub, enligt en ny rapport från Aqua Securitys cybersäkerhetsarm Team Nautilus.

Travis CI är en värd kontinuerlig integrationstjänst som utvecklare kan använda för att bygga och testa programvaruprojekt som är värd på GitHub och Bitbucket.

Enligt Team Nautilus exponeras tiotusentals användartokens genom API:et, vilket ger nästan vem som helst fri tillgång till historiska poster i vanlig text. I dessa register är över 770 miljoner av dem (alla som tillhör gratisnivåanvändare) tokens, hemligheter och andra referenser som hackare kan använda för att röra sig i sidled i molnet och starta olika cyberattacker, såsom kedja-av-kedja-attacker. .

Larmerade tjänsteleverantörer

Travis CI verkar inte vara särskilt oroad över problemet, eftersom Nautilus sa att han avslöjade sina resultat för teamet och fick höra att problemet var "genom design".

"Alla användare av den kostnadsfria nivån av Travis CI är potentiellt i riskzonen, så vi rekommenderar att du roterar dina nycklar omedelbart", varnade forskarna.

Även om Travis CI inte verkar överdrivet bekymrad över detta, är tjänsteleverantörer det. Nästan alla, säger Nautilus, blev oroliga och svarade snabbt med breda nyckelvändningar. Vissa verifierade att minst hälften av resultaten fortfarande var giltiga.

Tillgängligheten av dessa utvecklaruppgifter har varit ett "pågående problem sedan åtminstone 2015", noterade Ars Technica.

För sju år sedan rapporterade HackerOne att dess GitHub-konto äventyrades efter att Travis CI avslöjat en token för en av dess utvecklare. Ett liknande scenario inträffade ytterligare två gånger efteråt, en gång 2019 och en gång 2020, enligt publikationen.

Travis CI har inte kommenterat de nya fynden, och med tanke på att han tidigare sa att det var "genom design" är det troligt att han inte kommer att göra det. Utvecklare uppmuntras att proaktivt rotera åtkomsttokens och andra referenser då och då.

Via: Ars Technica (Öppnas i ny flik)

Dela detta