Bir yıldan az bir sürede ikinci kez, yazılım geliştirme ve test için Travis CI platformu, GitHub, Amazon Web Services ve Docker Hub'daki geliştiricilerin hesaplarına erişim sağlayabilecek kimlik doğrulama jetonları içeren kullanıcı verilerini ortaya çıkardı.
Aqua Security'deki araştırmacılar, Ücretsiz Katmanlı Kullanıcılara ait çeşitli kimlik bilgileriyle 770 milyondan fazla günlüke erişim sunan Travis CI API'sı aracılığıyla “on binlerce kullanıcı jetonunun” maruz kaldığını keşfettiler.
Araştırmacılar, sürekli entegrasyon (CI) hizmetlerini kullanmanın potansiyel güvenlik risklerini araştırırken, Travis platformuna odaklandılar ve doğru günlük numarasını kullanırken günlükleri net metinde getirmeye izin veren bir API çağrısı keşfettiler.
Araştırmacılar, Travis CI'nin günlük numaraları için yeterli korumayı zorlamadığını ve “sıfırdan sonsuza” ipleri almak için bir numaralandırma komut dosyası çalıştırabildiğini buldular.
“Bu, diğer satıcılarla kolay değil, çünkü URL'de bir uygulama kimliği veya müşteri kimliği (veya her ikisi) belirtilmelerini gerektiriyor, bu da günlükler üzerinde numaralandırmayı zorlaştırıyor” - Aqua Security
Araştırmacılar, belgelenmiş bir API sisteminde, daha önce kullanılamayan başka bir net metin günlüklerine erişime izin veren ikinci bir API çağrısı buldular.
İki yöntemi kullanarak, Aqua Security araştırmacıları Ocak 2013 ile Mayıs 2022 arasında tarihli günlükler bulabildiklerini söylüyorlar. Geçerli günlük aralığının 4,2 milyon ila 774 milyon arasında olduğunu belirlediler.
8 milyon kütüğün bir örneğini analiz ettikten sonra, araştırmacılar GitHub, Amazon Web Services (AWS) ve Docker Hub gibi bulut hizmetleriyle ilişkili jetonlar, sırlar ve çeşitli kimlik bilgileri şeklinde yaklaşık 73.000 hassas ip buldular.
Aqua Security, tarihi günlüklerdeki bazı verilerin gizlendiğini belirtiyor. Bununla birlikte, Araştırmacılar, çabaların yetersiz olduğunu, çünkü Travis CI geliştiricilerin hassas bilgiler için çeşitli adlandırma kurallarını kullanmasına izin veriyor.
“Bununla birlikte, günlüklerde sır, şifre ve jeton yazdırmak için birçok sözleşme var ve çoğu net metinde kaldı. Örneğin, birçok durumda “github_token” in maskelendiğini ve sırları açıklamadığını bulduk. Ancak, Travis CI tarafından maskelenmeyen bu jetonun yaklaşık 20 varyasyonunu bulduk ” - Aqua Security
Aqua Security’nin bulgularını Travis CI ile bir düzeltme umuduyla paylaştı. Ancak, CI hizmeti sorunun “tasarım yoluyla” olduğunu ve verileri açık bıraktığını söyledi.
Bu tür risklerle ilgili raporlar 2015, 2019 ve 2021'de yayınlandığından, kullanıcı günlüklerinin ortaya çıkması Travis CI için tekrarlayan bir sorun gibi görünmektedir.
Netflix neden şifre paylaşımı hakkında yanan tek kişi değil
En iyi 10 şifre saldırısı ve nasıl durdurulur
Citrix, kritik hatanın saldırganların yönetici şifrelerini sıfırlamasına izin verebileceği konusunda uyarıyor
Zehirlenmiş CCleaner Arama Sonuçları Bilgi Çalma Kötü Yazılım Yayılıyor
Fidye yazılımı çeteleri artık kurbanlara itibarlarını kurtarmaları için zaman veriyor
Kaynak: Bleeping Computer