Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Уязвимый API Travis CI ставит под угрозу пользователей бесплатного варианта сервиса

15/06/22

Travis CIУязвимость в безопасности API Travis CI оставила десятки тысяч пользовательских токенов разработчиков и другую конфиденциальную информацию незащищенной. Хакеры могут использовать учетные данные для проведения атак на GitHub , Amazon Web Services , Docker Hub и другие популярные облачные сервисы. Об этом сообщает Securitylab.

Согласно сообщению в блоге Team Nautilus, об этой уязвимости в API было известно еще в 2015 году, но она до сих пор может быть использована для проведения облачных атак. Специалисты отметили, что пользователи бесплатного варианта Travis CI находятся в зоне риска.

В ходе исследования аналитики компании Aqua Security смогли получить доступ к более чем 770 млн логов, полных токенов для подключения к репозиториям в GitHub, паролей для размещения сборок в Docker Hub, ключей для доступа к окружениям Amazon Web Services (AWS) и параметров подключения к СУБД MySQL и PostgreSQL. Все это может быть использовано хакерами для бокового перемещения через облачные сервисы с последующими атаками.

Специалисты Aqua Security повторно сообщили об уязвимости компании Travis и порекомендовали всем пользователям бесплатного варианта Travis CI срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.

Напомним , в апреле этого года хакеры уже смогли получить доступ к данным десятков организаций с помощью похищенных токенов OAuth GitHub. Хакеры воспользовались похищенными токенами OAuth, выпущенными для приложений Heroku и Travis-CI.

Темы:УгрозыAPIAqua Security

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...