Dezenas de milhares de tokens de autenticação com informações sensíveis estão sendo expostos no Travis CI, um serviço que auxilia desenvolvedores de código aberto a testar softwares hospedados no GitHub e outras plataformas. É o que apontam os pesquisadores da empresa de cibersegurança Aqua, em publicação nesta semana. Segundo a equipe, boa parte dos vazamentos permite que hackers acessem contas privadas de desenvolvedores no Github e no AWS, entre outros repositores de código-fonte.
De acordo com a Aqua, por conta da falha, qualquer pessoa praticamente pode acessar, de forma gratuita, logs históricos de texto simples. Mais de 770 milhões deles — todos pertencentes a usuários em nível gratuito — são tokens e credenciais que podem ser utilizados por eventuais agentes para se mover pela nuvem e efetuar ataques cibernéticos.
A Aqua reportou a descoberta à Travis CI. Em resposta, a empresa alemã respondeu que a falha se dá “em função do design”. Por conta disso, os pesquisadores recomendam que todos os usuários com nível gratuito no serviço alternem suas palavras-chave “imediatamente”.
Leia mais:
- Ghost Touch: hackers acessam tela touchscreen do celular sem precisar tocá-la
- Pesquisa mostra que 76% das empresas pagam criminosos de ransomware, mas 24% não recuperam os dados; entenda!
- Ataque ransomware fecha de vez faculdade fundada em 1865
Problema de longa data
Esta não é a primeira vez que um problema de autenticação ocorre no Travis CI. Em 2015, a plataforma de cibersegurança HackerOne relatou que sua conta no GitHub foi comprometida após o serviço de integração contínua expor um token para um de seus desenvolvedores. Um vazamento parecido aconteceu em 2019 e no ano passado.
Os pesquisadores da Aqua tiveram acesso a dois lotes de dados na plataforma, que renderam 4,28 milhões e 770 milhões de logs entre 2013 e maio de 2022. Após uma pequena porcentagem de informação, a equipe descobriu o que acredita ser 73 mil tokens, segredos e credenciais expostas.
O Travis CI fornece um serviço chamado de integração contínua (IC). Comum entre desenvolvedores, esse procedimento facilita e automatiza o processo de construção e teste de cada alteração de código em um software. Para cada mudança, o código é compilado, testado e mesclado em um repositório. O serviço da empresa alemã existe desde 2011.
Via Ars Technica
Crédito da imagem principal: NicoElNino/Shutterstock
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
O post Serviço de nuvem Travis CI expõe milhares de tokens de autenticação apareceu primeiro em Olhar Digital.
Fonte do Artigo
Tags:
#tecnologia #tecnologias #technology #tecnolog #iphone #informatica #tech #design #samsung #internet #apple #smartphone #seguranca #venezuela #celular #celulares #inovar #qualidade #software #empresas #cursos #engenharia #industria #marketing #ti #tecnoblog #veja #olhardigital #mundodigital #inteligenciaartificial #criar site #criar site curitiba #wiysolutions