Хакеры атаковали еще один каталог ведущих разработчиков

Хакеры атаковали еще один каталог ведущих разработчиков

15 июня 2022 г.

Из API Travis CI происходит утечка тысяч пользовательских токенов, что позволяет злоумышленникам легко получить доступ к конфиденциальным данным в GitHub, AWS и Docker Hub, говорится в новом отчете отдела кибербезопасности Aqua Security, который обнаружил Team Nautilus.

< p>Travis CI — это размещенная служба непрерывной интеграции, которую разработчики могут использовать для создания и тестирования программных проектов, размещенных на GitHub и Bitbucket.

По данным команды Nautilus, десятки тысяч пользовательских токенов доступны через API. , что позволяет почти любому бесплатно получить доступ к историческим журналам в открытом виде. В этих журналах более 770 миллионов из них (все они принадлежат пользователям бесплатного уровня) представляют собой токены, секреты и другие учетные данные, которые злоумышленники могут использовать для горизонтального перемещения через облако и инициирования различных кибератак, таких как атаки цепочки поставок.

Поделитесь своими мыслями о кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Поставщики услуг встревожены

Компания Travis CI, похоже, не слишком обеспокоена этим вопросом, поскольку Nautilus заявила, что сообщила о своих выводах команде, и ей сказали, что проблема была «преднамеренной».

«Все пользователи бесплатного уровня Travis CI потенциально уязвимы, поэтому мы рекомендуем немедленно сменить ключи», — предупредили исследователи.

Хотя Travis CI, похоже, не слишком озабочен этим , поставщики услуг. Почти все они, по словам Наутилуса, были встревожены и быстро реагировали широкими поворотами клавиш. Некоторые подтвердили, что по крайней мере половина выводов все еще верна.

Доступность этих учетных данных разработчика была «постоянной проблемой по крайней мере с 2015 года», отмечает Ars Technica.

Семь лет назад компания HackerOne сообщила, что ее учетная запись GitHub была скомпрометирована после того, как Travis CI раскрыл токен одного из ее разработчиков. Подобный сценарий происходил после этого еще два раза, один раз в 2019 году и один раз в 2020 году, отмечает издание.

Компания Travis CI не прокомментировала новые выводы, а учитывая, что когда-то уже заявила, что это «преднамеренно», вероятно, и не будет. Разработчикам рекомендуется время от времени заблаговременно менять токены доступа и другие учетные данные.

Через: Арс Техника


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE