Serviço de nuvem Travis CI expõe milhares de tokens de autenticação

Dezenas de milhares de tokens de autenticação com informações sensíveis estão sendo expostos no Travis CI, um serviço que auxilia desenvolvedores de código aberto a testar softwares hospedados no GitHub e outras plataformas. É o que apontam os pesquisadores da empresa de cibersegurança Aqua, em publicação nesta semana. Segundo a equipe, boa parte dos vazamentos permite que hackers acessem contas privadas de desenvolvedores no Github e no AWS, entre outros repositores de código-fonte.

De acordo com a Aqua, por conta da falha, qualquer pessoa praticamente pode acessar, de forma gratuita, logs históricos de texto simples. Mais de 770 milhões deles — todos pertencentes a usuários em nível gratuito — são tokens e credenciais que podem ser utilizados por eventuais agentes para se mover pela nuvem e efetuar ataques cibernéticos.

A Aqua reportou a descoberta à Travis CI. Em resposta, a empresa alemã respondeu que a falha se dá “em função do design”. Por conta disso, os pesquisadores recomendam que todos os usuários com nível gratuito no serviço alternem suas palavras-chave “imediatamente”.

Problema de longa data

Esta não é a primeira vez que um problema de autenticação ocorre no Travis CI. Em 2015, a plataforma de cibersegurança HackerOne relatou que sua conta no GitHub foi comprometida após o serviço de integração contínua expor um token para um de seus desenvolvedores. Um vazamento parecido aconteceu em 2019 e no ano passado.

Os pesquisadores da Aqua tiveram acesso a dois lotes de dados na plataforma, que renderam 4,28 milhões e 770 milhões de logs entre 2013 e maio de 2022. Após uma pequena porcentagem de informação, a equipe descobriu o que acredita ser 73 mil tokens, segredos e credenciais expostas.

O Travis CI fornece um serviço chamado de integração contínua (IC). Comum entre desenvolvedores, esse procedimento facilita e automatiza o processo de construção e teste de cada alteração de código em um software. Para cada mudança, o código é compilado, testado e mesclado em um repositório. O serviço da empresa alemã existe desde 2011.

Via Ars Technica

Deixe um comentário

O seu endereço de e-mail não será publicado.