Team Nautilus, Aqua Security’nin siber güvenlik kolundan yeni bir rapor olan Travis CI API’sinin binlerce kullanıcı jetonunu sızdırdığını ve tehdit aktörlerinin GitHub, AWS ve Docker Hub’daki hassas verilere kolayca erişmesini sağladığını tespit etti.
Travis CI, geliştiricilerin GitHub ve Bitbucket’te barındırılan yazılım projelerini oluşturmak ve test etmek için kullanabileceği, barındırılan bir sürekli entegrasyon hizmetidir.
Team Nautilus’a göre, API aracılığıyla on binlerce kullanıcı belirteci açığa çıkıyor ve hemen hemen herkesin geçmiş düz metin günlüklerine ücretsiz erişmesine izin veriyor. Bu günlüklerde, bunların 770 milyondan fazlası (tümü ücretsiz katman kullanıcılarına aittir), tehdit aktörlerinin bulutta yanal olarak hareket etmek ve tedarik zinciri saldırıları gibi çeşitli siber saldırılar başlatmak için kullanabileceği belirteçler, sırlar ve diğer kimlik bilgileridir.
Servis sağlayıcılar alarma geçti
Nautilus, bulgularını ekibe açıkladığını ve sorunun “tasarım gereği” olduğu söylendiğini söylediğinden, Travis CI konuyla ilgili çok fazla rahatsız görünmüyor.
Araştırmacılar, “Tüm Travis CI ücretsiz katman kullanıcıları potansiyel olarak açıkta, bu nedenle anahtarlarınızı hemen döndürmenizi öneririz” diye uyardı.
Travis CI bununla çok meşgul görünmese de, servis sağlayıcılar meşgul. Nautilus, neredeyse hepsinin alarma geçtiğini ve geniş tuş rotasyonlarıyla hızlı bir şekilde yanıt verdiğini söylüyor. Bazıları bulguların en az yarısının hala geçerli olduğunu doğruladı.
Bu geliştirici kimlik bilgilerinin kullanılabilirliği “en az 2015’ten beri devam eden bir sorun” olmuştur. Ars Teknik kayıt edilmiş.
Yedi yıl önce HackerOne, Travis CI geliştiricilerinden biri için bir belirteç ifşa ettikten sonra GitHub hesabının ele geçirildiğini bildirdi. Yayın, bundan sonra iki kez daha, bir kez 2019’da ve bir kez 2020’de benzer bir senaryo olduğunu belirtti.
Travis CI yeni bulgular hakkında yorum yapmadı ve bir zamanlar “tasarım gereği” olduğunu söylediğine göre, muhtemelen olmayacak. Geliştiricilere, zaman zaman erişim belirteçlerini ve diğer kimlik bilgilerini proaktif olarak döndürmeleri önerilir.
Aracılığıyla: Ars Teknik (yeni sekmede açılır)
