L'API di Travis CI fa trapelare migliaia di token utente, consentendo agli attori delle minacce di accedere facilmente ai dati sensibili su GitHub, AWS e Docker Hub, secondo un nuovo rapporto del team di sicurezza informatica di Aqua Security, Team Nautilus.
Travis CI è un servizio di integrazione continua in hosting che gli sviluppatori possono utilizzare per creare e testare progetti software ospitati su GitHub e Bitbucket.
Secondo il Team Nautilus, decine di migliaia di token utente vengono esposti tramite l'API, consentendo a quasi tutti l'accesso gratuito ai record storici in chiaro. In questi record, oltre 770 milioni di essi (tutti appartenenti a utenti di livello gratuito) sono token, segreti e altre credenziali che gli hacker possono utilizzare per spostarsi lateralmente nel cloud e lanciare vari attacchi informatici, come gli attacchi chain-of-chain. .
Fornitori di servizi allarmati
Travis CI non sembra troppo preoccupato per il problema, poiché Nautilus ha affermato di aver rivelato i suoi risultati al team e gli è stato detto che il problema era "previsto dalla progettazione".
"Tutti gli utenti del livello gratuito di Travis CI sono potenzialmente a rischio, quindi ti consigliamo di ruotare immediatamente le chiavi", hanno avvertito i ricercatori.
Mentre Travis CI non sembra eccessivamente preoccupato per questo, i fornitori di servizi lo sono. Quasi tutti, dice Nautilus, erano allarmati e hanno risposto rapidamente con ampi giri di chiavi. Alcuni hanno verificato che almeno la metà dei risultati fosse ancora valida.
La disponibilità di queste credenziali da sviluppatore è un "problema costante almeno dal 2015", ha osservato Ars Technica.
Sette anni fa, HackerOne ha riferito che il suo account GitHub è stato compromesso dopo che Travis CI ha esposto un token per uno dei suoi sviluppatori. Secondo la pubblicazione, uno scenario simile si è verificato altre due volte dopo, una nel 2019 e una nel 2020.
Travis CI non ha commentato le nuove scoperte e, poiché in precedenza aveva affermato che erano "in base alla progettazione", probabilmente non lo farà. Si consiglia agli sviluppatori di ruotare di tanto in tanto in modo proattivo i token di accesso e altre credenziali.
Via: Ars Technica (si apre in una nuova scheda)