La API de Travis CI filtra miles de tokens de usuarios, lo que permite a los actores de amenazas acceder fácilmente a datos confidenciales en GitHub, AWS y Docker Hub, según un nuevo informe del brazo de ciberseguridad de Aqua Security, Team Nautilus.

Travis CI es un servicio de integración continua alojado, que los desarrolladores pueden usar para crear y probar proyectos de software alojados en GitHub y Bitbucket.

Según Team Nautilus, decenas de miles de tokens de usuario están expuestos a través de la API, lo que permite que casi cualquier persona tenga acceso gratuito a registros históricos de texto sin formato. En estos registros, más de 770 millones de ellos (todos pertenecientes a usuarios de nivel gratuito) son tokens, secretos y otras credenciales que los piratas informáticos pueden usar para moverse lateralmente en la nube y lanzar varios ataques cibernéticos, como ataques a la cadena de suministro.

Proveedores de servicios alarmados

Travis CI no parece demasiado preocupado por el problema, ya que Nautilus dijo que reveló sus hallazgos al equipo y le dijeron que el problema era «por diseño».

“Todos los usuarios del nivel gratuito de Travis CI están potencialmente en riesgo, por lo que le recomendamos que rote sus claves de inmediato”, advirtieron los investigadores.

Si bien Travis CI no parece demasiado preocupado por esto, los proveedores de servicios sí lo están. Casi todos, dice Nautilus, se alarmaron y respondieron rápidamente con amplios giros de llave. Algunos verificaron que al menos la mitad de los resultados seguían siendo válidos.

La disponibilidad de estas credenciales de desarrollador ha sido un «problema continuo desde al menos 2015», señaló Ars Technica.

Hace siete años, HackerOne informó que su cuenta de GitHub se vio comprometida después de que Travis CI expusiera un token para uno de sus desarrolladores. Un escenario similar ocurrió dos veces más después, una en 2019 y otra en 2020, según la publicación.

Travis CI no ha comentado sobre los nuevos hallazgos, y dado que anteriormente dijo que fue «por diseño», es probable que no lo haga. Se recomienda a los desarrolladores que roten proactivamente los tokens de acceso y otras credenciales de vez en cuando.

Vía: Ars Technica (se abre en una nueva pestaña)

Share This