L'API Travis CI laisse échapper des milliers de jetons d'utilisateur, permettant aux pirates d'accéder facilement aux données sensibles sur GitHub, AWS et Docker Hub, selon un nouveau rapport de la branche cybersécurité d'Aqua Security, Team Nautilus.
Travis CI est un service d'intégration continue hébergé que les développeurs peuvent utiliser pour créer et tester des projets logiciels hébergés sur GitHub et Bitbucket.
Selon Team Nautilus, des dizaines de milliers de jetons d'utilisateur sont exposés via l'API, permettant à presque tout le monde un accès gratuit aux enregistrements historiques en texte brut. Dans ces enregistrements, plus de 770 millions d'entre eux (appartenant tous à des utilisateurs de niveau gratuit) sont des jetons, des secrets et d'autres informations d'identification que les pirates peuvent utiliser pour se déplacer latéralement dans le cloud et lancer diverses cyberattaques, telles que des attaques de chaîne de sécurité.
Fournisseurs de services alarmés
Travis CI ne semble pas trop préoccupé par le problème, car Nautilus a déclaré avoir révélé ses conclusions à l'équipe et on lui a dit que le problème était « intentionnel ».
"Tous les utilisateurs du niveau gratuit de Travis CI sont potentiellement à risque, nous vous recommandons donc de faire tourner vos clés immédiatement", ont averti les chercheurs.
Bien que Travis CI ne semble pas trop préoccupé par cela, les fournisseurs de services le sont. Presque tout le monde, dit Nautilus, a été alarmé et a réagi rapidement avec de larges tours de clé. Certains ont vérifié qu'au moins la moitié des résultats étaient toujours valables.
La disponibilité de ces informations d'identification de développeur est un « problème persistant depuis au moins 2015 », a noté Ars Technica.
Il y a sept ans, HackerOne a signalé que son compte GitHub avait été compromis après que Travis CI ait exposé un jeton pour l'un de ses développeurs. Un scénario similaire s'est produit deux fois plus tard, une fois en 2019 et une fois en 2020, selon la publication.
Travis CI n'a pas commenté les nouvelles découvertes, et comme il a précédemment déclaré que c'était « intentionnel », il ne le fera probablement pas. Il est conseillé aux développeurs d'effectuer une rotation proactive des jetons d'accès et autres informations d'identification de temps en temps.
Via : Ars Technica (Ouvre dans un nouvel onglet)