Laut einem neuen Bericht von Team Nautilus, der Cybersicherheitsabteilung von Aqua Security, lässt die Travis CI API Tausende von Benutzer-Tokens durchsickern, wodurch Bedrohungsakteure problemlos auf vertrauliche Daten auf GitHub, AWS und Docker Hub zugreifen können.
Travis CI ist ein gehosteter kontinuierlicher Integrationsdienst, mit dem Entwickler auf GitHub und Bitbucket gehostete Softwareprojekte erstellen und testen können.
Laut Team Nautilus werden Zehntausende Benutzer-Tokens über die API offengelegt, sodass fast jeder frei auf historische Aufzeichnungen im Klartext zugreifen kann. In diesen Aufzeichnungen handelt es sich bei mehr als 770 Millionen davon (alle im Besitz von Benutzern des kostenlosen Kontingents) um Token, Geheimnisse und andere Zugangsdaten, die Hacker nutzen können, um sich seitlich in der Cloud zu bewegen und verschiedene Cyberangriffe, beispielsweise Angriffe auf die Lieferkette, zu starten.
Alarmierte Dienstleister
Travis CI scheint über das Problem nicht allzu besorgt zu sein, da Nautilus sagte, es habe seine Ergebnisse dem Team mitgeteilt und ihm wurde mitgeteilt, dass das Problem „absichtlich“ sei.
„Alle Benutzer der kostenlosen Stufe von Travis CI sind potenziell gefährdet, daher empfehlen wir Ihnen, Ihre Schlüssel sofort zu wechseln“, warnten die Forscher.
Während Travis CI sich darüber keine allzu großen Sorgen zu machen scheint, sind es die Dienstleister. Fast jeder, sagt Nautilus, sei alarmiert gewesen und habe schnell mit großen Schlüsseldrehungen reagiert. Einige bestätigten, dass mindestens die Hälfte der Ergebnisse noch gültig war.
Die Verfügbarkeit dieser Entwickler-Anmeldeinformationen sei „seit mindestens 2015 ein andauerndes Problem“, stellte Ars Technica fest.
Vor sieben Jahren berichtete HackerOne, dass sein GitHub-Konto kompromittiert wurde, nachdem Travis CI ein Token für einen seiner Entwickler offengelegt hatte. Der Veröffentlichung zufolge ereignete sich ein ähnliches Szenario später noch zweimal, einmal im Jahr 2019 und einmal im Jahr 2020.
Travis CI hat sich zu den neuen Erkenntnissen nicht geäußert, und da er zuvor sagte, es sei „absichtlich“, wird er dies wahrscheinlich auch nicht tun. Entwicklern wird empfohlen, Zugriffstokens und andere Anmeldeinformationen von Zeit zu Zeit proaktiv zu wechseln.
Über: Ars Technica (öffnet sich in einem neuen Tab)