Elle concerne des dizaines de milliers de secrets exposés pouvant être facilement obtenus via l’API Travis CI

L’API Travis offre un accès facilité à des dizaines de milliers de tokens, de secrets et autres informations d’identification. Avec ces secrets, les hackers peuvent potentiellement modifier le code et lancer des attaques sur la chaîne d’approvisionnement. Ces clés d’accès et ces informations d’identification sont liées à des fournisseurs de services cloud connus, comme GitHub, AWS, Docker Hub et bien d’autres. Certains d’entre eux ont confirmé que jusqu’à 50% des tokens/secrets/mots de passe étaient encore valides et permettaient d’accéder aux comptes de leurs clients. Selon Travis CI, ce problème a été signalé par le passé et entièrement corrigé, mais les recherches des experts Nautilus prouvent qu’il s’agit toujours d’un problème de sécurité critique. Travis ne prévoit pas de mesures additionnelles. L’équipe Nautilus a également trouvé un accès à des logs restreints qui peuvent être potentiellement lus.

Autres faits marquants :
– Ce problème a déjà été signalé à Travis CI et publié dans les médias en 2015 et 2019, mais n’a jamais été entièrement corrigé....
– Nautilus a constaté qu’il y aurait potentiellement 770 millions de logs compromis....
– Les logs les plus anciens datent de janvier 2013 et les plus récents de mai 2022.
– Cette menace pourrait entraîner une augmentation des attaques contre la chaîne d’approvisionnement logicielle, un problème déjà très critique.
– Les utilisateurs gratuits de Travis CI sont potentiellement exposés