Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Уязвимый API Travis CI ставит под угрозу пользователей бесплатного варианта сервиса

15/06/22

Travis CIУязвимость в безопасности API Travis CI оставила десятки тысяч пользовательских токенов разработчиков и другую конфиденциальную информацию незащищенной. Хакеры могут использовать учетные данные для проведения атак на GitHub , Amazon Web Services , Docker Hub и другие популярные облачные сервисы. Об этом сообщает Securitylab.

Согласно сообщению в блоге Team Nautilus, об этой уязвимости в API было известно еще в 2015 году, но она до сих пор может быть использована для проведения облачных атак. Специалисты отметили, что пользователи бесплатного варианта Travis CI находятся в зоне риска.

В ходе исследования аналитики компании Aqua Security смогли получить доступ к более чем 770 млн логов, полных токенов для подключения к репозиториям в GitHub, паролей для размещения сборок в Docker Hub, ключей для доступа к окружениям Amazon Web Services (AWS) и параметров подключения к СУБД MySQL и PostgreSQL. Все это может быть использовано хакерами для бокового перемещения через облачные сервисы с последующими атаками.

Специалисты Aqua Security повторно сообщили об уязвимости компании Travis и порекомендовали всем пользователям бесплатного варианта Travis CI срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.

Напомним , в апреле этого года хакеры уже смогли получить доступ к данным десятков организаций с помощью похищенных токенов OAuth GitHub. Хакеры воспользовались похищенными токенами OAuth, выпущенными для приложений Heroku и Travis-CI.

Темы:УгрозыAPIAqua Security
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...