Хакеры атаковали еще один каталог ведущих разработчиков

API Travis CI позволяет злоумышленникам легко получить доступ к конфиденциальным данным в GitHub, AWS и Docker Hub, говорится в новом отчете отдела кибербезопасности Aqua Security.

Хакеры атаковали еще один каталог ведущих разработчиков. Фото СС0

Travis CI — это размещенная служба непрерывной интеграции, которую разработчики могут использовать для создания и тестирования программных проектов, размещенных на GitHub и Bitbucket.

По словам исследователей Team Nautilus, десятки тысяч пользовательских токенов доступны через API, что позволяет практически любому бесплатно получить доступ к историческим журналам в открытом виде. 770 млн журналов (все они принадлежат пользователям бесплатного уровня) содержат токены, конфидент и другие учетные данные, которые злоумышленники могут использовать для горизонтального перемещения через облако и инициирования различных кибератак, таких как атаки цепочки поставок.

Команда Nautilus заявила, что раскрыла свои выводы разработчикам, на что получила ответ, что проблема выглядит «надуманной».

Доступность этих учетных данных разработчика была «постоянной проблемой по крайней мере с 2015 года», отмечает издание Ars Technica. https://arstechnica.com/

Семь лет назад HackerOne сообщила, что ее учетная запись GitHub была скомпрометирована после того, как Travis CI раскрыл токен одного из ее разработчиков. Подобный сценарий происходил после этого еще два раза, один раз в 2019 году и один раз в 2020 году, отмечает издание.

В Travis CI не прокомментировали новые выводы, а учитывая, что однажды уже заявила, что это «преднамеренно», вероятно, и не будет. Разработчикам рекомендуется время от времени заблаговременно менять токены доступа и другие учетные данные.

Statpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме