Nền tảng kiểm tra và phát triển phần mềm Travis CI xác nhận sự cố thứ hai làm lộ dữ liệu người dùng của họ trong vòng chưa đầy một năm. Lần này, các bản ghi bị tiết lộ có token cho phép truy cập vào các nền tảng như AWS, GitHub và Docker Hub.
Theo báo cáo của Aqua Security, hàng chục nghìn token của người dùng bị tiết lộ thông qua API Travis CI, chứa hơn 770 triệu bản ghi với nhiều thông tin xác thực người dùng miễn phí.
Theo báo cáo, Travis CI đã không áp dụng các biện pháp bảo vệ đầy đủ cho các số bản ghi, điều này sẽ cho phép thực thi tập lệnh để truy xuất số lượng không xác định các chuỗi.
Quá trình nghiên cứu đã xác định được các bản ghi có từ tháng 1/2013 đến tháng 5 năm nay. Aqua Security ước tính rằng các thông tin hợp lệ nằm trong khoảng từ 4,2 triệu đến 774 triệu. Sau khi phân tích 8 triệu bản ghi, các chuyên gia đã tìm thấy gần 73.000 chuỗi nhạy cảm dưới dạng tokenvà các thông tin đăng nhập khác nhau được liên kết với các dịch vụ cloud như GitHub, AWS và Docker Hub.
Các chuyên gia lưu ý rằng một số dữ liệu trong hồ sơ lịch sử đã bị xáo trộn. Tuy nhiên, điều này là không đủ vì Travis CI cho phép các nhà phát triển sử dụng các quy ước đặt tên khác nhau cho thông tin nhạy cảm.
“Chúng tôi nhận thấy rằng, trong nhiều trường hợp, ‘github_token’ đã bị che giấu và không tiết lộ bí mật. Tuy nhiên, chúng tôi đã tìm thấy khoảng 20 biến thể của token không được Travis CI áp dụng các biện pháp bảo vệ”, các nhà nghiên cứu cho biết thêm.
Các chuyên gia tin rằng lỗ hổng sẽ sớm được phát hành bản vá, Travis CI cũng đã nhận được báo cáo. Tuy nhiên, nền tảng đã thông báo rằng đây là vấn đề thiết kế và có thể sẽ không được khắc phục. Việc hiển thị nhật ký người dùng dường như là một vấn đề lặp lại đối với Travis CI, vì các báo cáo về loại rủi ro này đã được xuất bản vào năm 2015, 2019 và 2021.
Theo https://www.securitynewspaper.com/