L'API Travis CI laisse échapper des milliers de jetons d'utilisateur, permettant aux pirates d'accéder facilement aux données sensibles sur GitHub, AWS et Docker Hub, selon un nouveau rapport de la branche cybersécurité d'Aqua Security, Team Nautilus.
Travis CI est un service d'intégration continue hébergé que les développeurs peuvent utiliser pour créer et tester des projets logiciels hébergés sur GitHub et Bitbucket.
Selon Team Nautilus, des dizaines de milliers de jetons d'utilisateur sont exposés via l'API, permettant à presque tout le monde un accès gratuit aux enregistrements historiques en texte brut. Dans ces enregistrements, plus de 770 millions d'entre eux (appartenant tous à des utilisateurs de niveau gratuit) sont des jetons, des secrets et d'autres informations d'identification que les pirates peuvent utiliser pour se déplacer latéralement dans le cloud et lancer diverses cyberattaques, telles que des attaques de chaîne de sécurité.
Fournisseurs de services alarmés
Travis CI no parece demasiado preocupado por el problema, ya que Nautilus dijo que reveló sus hallazgos al equipo y le dijeron que el problema era "por diseño".
"Tous les utilisateurs du niveau gratuit de Travis CI sont potentiellement à risque, nous vous recommandons donc de faire tourner vos clés immédiatement", ont averti les chercheurs.
Bien que Travis CI ne semble pas trop préoccupé par cela, les fournisseurs de services le sont. Presque tout le monde, dit Nautilus, a été alarmé et a réagi rapidement avec de larges tours de clé. Certains ont vérifié qu'au moins la moitié des résultats étaient toujours valables.
La disponibilidad de estas credenciales de desarrollador ha sido un "problema continuo desde al menos 2015", señaló Ars Technica.
Il y a sept ans, HackerOne a signalé que son compte GitHub avait été compromis après que Travis CI ait exposé un jeton pour l'un de ses développeurs. Un scénario similaire s'est produit deux fois plus tard, une fois en 2019 et une fois en 2020, selon la publication.
Travis CI no ha comentado sobre los nuevos hallazgos, y dado que anteriormente dijo que fue "por diseño", es probable que no lo haga. Se recomienda a los desarrolladores que roten proactivamente los tokens de acceso y otras credenciales de vez en cuando.
Via : Ars Technica (Ouvre dans un nouvel onglet)