Dezenas de milhares de tokens de autenticação com informações sensíveis estão sendo expostos no Travis CI, um serviço que auxilia desenvolvedores de código aberto a testar softwares hospedados no GitHub e outras plataformas. É o que apontam os pesquisadores da empresa de cibersegurança Aqua, em publicação nesta semana. Segundo a equipe, boa parte dos vazamentos permite que hackers acessem contas privadas de desenvolvedores no Github e no AWS, entre outros repositores de código-fonte.

De acordo com a Aqua, por conta da falha, qualquer pessoa praticamente pode acessar, de forma gratuita, logs históricos de texto simples. Mais de 770 milhões deles — todos pertencentes a usuários em nível gratuito — são tokens e credenciais que podem ser utilizados por eventuais agentes para se mover pela nuvem e efetuar ataques cibernéticos.

A Aqua reportou a descoberta à Travis CI. Em resposta, a empresa alemã respondeu que a falha se dá “em função do design”. Por conta disso, os pesquisadores recomendam que todos os usuários com nível gratuito no serviço alternem suas palavras-chave “imediatamente”.

Problema de longa data

Esta não é a primeira vez que um problema de autenticação ocorre no Travis CI. Em 2015, a plataforma de cibersegurança HackerOne relatou que sua conta no GitHub foi comprometida após o serviço de integração contínua expor um token para um de seus desenvolvedores. Um vazamento parecido aconteceu em 2019 e no ano passado.

Os pesquisadores da Aqua tiveram acesso a dois lotes de dados na plataforma, que renderam 4,28 milhões e 770 milhões de logs entre 2013 e maio de 2022. Após uma pequena porcentagem de informação, a equipe descobriu o que acredita ser 73 mil tokens, segredos e credenciais expostas.

O Travis CI fornece um serviço chamado de integração contínua (IC). Comum entre desenvolvedores, esse procedimento facilita e automatiza o processo de construção e teste de cada alteração de código em um software. Para cada mudança, o código é compilado, testado e mesclado em um repositório. O serviço da empresa alemã existe desde 2011.

Via Ars Technica

Crédito da imagem principal: NicoElNino/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!