L'API di Travis CI fa trapelare migliaia di token utente, consentendo agli attori delle minacce di accedere facilmente ai dati sensibili su GitHub, AWS e Docker Hub, secondo un nuovo rapporto del team di sicurezza informatica di Aqua Security, Team Nautilus.

Travis CI è un servizio di integrazione continua in hosting che gli sviluppatori possono utilizzare per creare e testare progetti software ospitati su GitHub e Bitbucket.

Secondo il Team Nautilus, decine di migliaia di token utente vengono esposti tramite l'API, consentendo a quasi tutti l'accesso gratuito ai record storici in chiaro. In questi record, oltre 770 milioni di essi (tutti appartenenti a utenti di livello gratuito) sono token, segreti e altre credenziali che gli hacker possono utilizzare per spostarsi lateralmente nel cloud e lanciare vari attacchi informatici, come gli attacchi chain-of-chain. .

Fornitori di servizi allarmati

Travis CI non sembra troppo preoccupato per il problema, poiché Nautilus ha affermato di aver rivelato le sue scoperte al team e gli è stato detto che il problema era "in base alla progettazione".

"Tutti gli utenti del livello gratuito di Travis CI sono potenzialmente a rischio, quindi ti consigliamo di ruotare immediatamente le chiavi", hanno avvertito i ricercatori.

Mentre Travis CI non sembra eccessivamente preoccupato per questo, i fornitori di servizi lo sono. Quasi tutti, dice Nautilus, erano allarmati e hanno risposto rapidamente con ampi giri di chiavi. Alcuni hanno verificato che almeno la metà dei risultati fosse ancora valida.

La disponibilità di queste credenziali per sviluppatori è stata un "problema in corso almeno dal 2015", ha osservato Ars Technica.

Sette anni fa, HackerOne ha riferito che il suo account GitHub è stato compromesso dopo che Travis CI ha esposto un token per uno dei suoi sviluppatori. Secondo la pubblicazione, uno scenario simile si è verificato altre due volte dopo, una nel 2019 e una nel 2020.

Travis CI non ha commentato le nuove scoperte e, dato che in precedenza aveva affermato che era "in base alla progettazione", è probabile che non lo farà. Gli sviluppatori sono incoraggiati a ruotare in modo proattivo i token di accesso e altre credenziali di volta in volta.

Via: Ars Technica (si apre in una nuova scheda)

Condividi questo