Aqua Security eventus studii divulgavit quod praesentiam notitiarum secretarum in actis constructionis publice praesto in systemate integrationis continuae Travis CI investigat. Investigatores viam invenerunt ad extrahendos 770 miliones acta ex variis inceptis. Ex probatione recepta 8 milionum acta circiter 73 tesseras, credentiales, et claves accessus cum variis officiis popularibus, inter quas GitHub, AWS, et Docker Hub, coniunctas, revelavit. Haec informatio ad infrastructuram multorum inceptorum fontis aperti violandam adhiberi potest; exempli gratia, similis divulgatio nuper ad violationem infrastructurae incepti NPM duxit.
Effusio accessum ad diaria usorum pro gratuito servitio Travis CI per API inclusam implicavit (exempli gratia, diarium constructionis per URL similem "https://api.travis-ci.org/v3/job/5248126/log.txt," ubi 5248126 est identificatio diarii) depromi potest. Ad determinandam seriem possibilium identificationum diariorum, alia API adhibita est ("https://api.travis-ci.org/logs/6976822"), quae ad depromptionem diariorum per numerum serialem dirigit. Investigatione vi bruta utens, studium circiter 770 miliones diariorum inter annos 2013 et Maium 2022 creatorum per constructionem inceptorum a consilio gratuito comprehensorum, sine authenticatione, invenit.
Ex examine exemplaris probationis apparuit acta saepe clare testimonia accessus ad repositoria, APIs, et locos repositionis demonstrare, quae sufficiunt ad repositoria privata accedenda, mutationes codicis faciendas, vel ad coniungendum cum ambitus nubilosis in infrastructura adhibitis. Exempli gratia, acta continebant tesseras ad coniungendum cum repositoriis GitHub, tesseras secretas ad aedificationes in Docker Hub hospitandas, claves ad coniungendum ambitus Amazon Web Services (AWS), et testimonia connexionis ad bases datorum MySQL et PostgreSQL.
Notandum est similes effusiones API ab investigatoribus annis 2015 et 2019 notatas esse. Post haec incidentia, Travis quasdam restrictiones addidit ad copiam datorum imponenda impediendam et accessum API restringendam, sed hae restrictiones feliciter circumventae sunt. Travis etiam conatus est purgare data sensibilia in suis diariis, sed purgatio tantum partialis fuit.
Effusio imprimis usores inceptorum fontium apertorum, quibus Travis liberum accessum ad servitium suum integrationis continuae praebet, affecit. Experimenta a pluribus praebitoribus servitiorum facta confirmaverunt circiter dimidium tesserarum et clavium ex actis extractarum validas manere. Omnes usores servitii gratuiti Travis CI monentur ut claves accessus suas statim mutent, deletionem actarum constructionis configurent, et verificent nullam datam sensibilem in actis referri.
Source: opennet.ru
