Wyciek danych z API programistycznego Travis CI

API programistyczne Travis CI zostało zaatakowane. Do sieci wyciekły tysiące tokenów użytkowników oprogramowania.

Z API programistycznego oprogramowania Travis CI służącego do ciągłej integracji podczas tworzenia oraz testowania projektów hostowanych na GitHubie oraz Bitbucket wyciekły tysiące tokenów użytkowników usługi. Według najnowszego raportu opracowanego przez Team Nautilus z Aqua Security - firmy zajmującej się cyberbezpieczeństwem - do sieci trafiły tokeny użytkowników, które umożliwiają łatwy dostęp do wrażliwych danych przetrzymywanych na GitHubie, Docker Hub oraz Amazon Web Services.

Do sieci trafiły tokeny z API Travis CI

Źródło: Philipp Katzenberger / Unsplash

Do sieci trafiły tokeny z API Travis CI

Źródło: Philipp Katzenberger / Unsplash

Travis CI to hostowana usługa ciągłej integracji, która pozwala programistom i deweloperom na budowie i testowanie projektów umieszczanych w GitHubie oraz Bitbucket.

Zobacz również:

  • Google zapłaci 700 mln dolarów
  • Relacja z WWDC 2023 - najważniejszej konferencji Apple w roku

Według informacji przekazanych przez Team Nautilus do sieci przedostały się dziesiątki tysięcy tokenów użytkowników, które zostały ujawnione przez API programistyczne Travis CI. Dane pozwalają praktycznie każdej zainteresowanej osobie na swobodny dostęp do historycznych logów z niezabezpieczonym tekstem.

W ponad 770 milionach logów znajdują się tokeny i dane uwierzytelniające, które mogą zostać wykorzystane do inicjowania różnego rodzaju cyberataków oraz uzyskania dostępu do kont na GitHubie.

Badacze ostrzegają użytkowników Travis CI. W oficjalnym oświadczeniu prasowym Nautilus Team przekazuje:

Wszyscy użytkownicy Travis CI w wersji darmowej są potencjalnie narażeni na niebezpieczeństwo, dlatego zalecamy natychmiastową zmianę kluczy.

Z informacji przekazanych przez badaczy do spraw cyberbezpieczeństwo dostawcy usług korzystający z Travis CI szybko zareagowali na zdarzenie. Dane, które trafiły do sieci mogą potencjalnie posłużyć do zakłócenia łańcucha dostaw.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200