Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Уязвимый API Travis CI ставит под угрозу пользователей бесплатного варианта сервиса

15/06/22

Travis CIУязвимость в безопасности API Travis CI оставила десятки тысяч пользовательских токенов разработчиков и другую конфиденциальную информацию незащищенной. Хакеры могут использовать учетные данные для проведения атак на GitHub , Amazon Web Services , Docker Hub и другие популярные облачные сервисы. Об этом сообщает Securitylab.

Согласно сообщению в блоге Team Nautilus, об этой уязвимости в API было известно еще в 2015 году, но она до сих пор может быть использована для проведения облачных атак. Специалисты отметили, что пользователи бесплатного варианта Travis CI находятся в зоне риска.

В ходе исследования аналитики компании Aqua Security смогли получить доступ к более чем 770 млн логов, полных токенов для подключения к репозиториям в GitHub, паролей для размещения сборок в Docker Hub, ключей для доступа к окружениям Amazon Web Services (AWS) и параметров подключения к СУБД MySQL и PostgreSQL. Все это может быть использовано хакерами для бокового перемещения через облачные сервисы с последующими атаками.

Специалисты Aqua Security повторно сообщили об уязвимости компании Travis и порекомендовали всем пользователям бесплатного варианта Travis CI срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.

Напомним , в апреле этого года хакеры уже смогли получить доступ к данным десятков организаций с помощью похищенных токенов OAuth GitHub. Хакеры воспользовались похищенными токенами OAuth, выпущенными для приложений Heroku и Travis-CI.

Темы:УгрозыAPIAqua Security
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...