The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов

13.06.2022 15:13

Компания Aqua Security опубликовала результаты исследования наличия конфиденциальных данных в сборочных логах, публично доступных в системе непрерывной интеграции Travis CI. Исследователи нашли способ извлечения 770 млн логов различных проектов. При тестовой загрузке 8 млн логов в полученных данных было выявлено около 73 тысяч токенов, учётных данных и ключей доступа, связанных с различными популярными сервисами, включая GitHub, AWS и Docker Hub. Выявленная информация позволяет скомпрометировать инфраструктуру многих открытых проектов, например, похожая утечка недавно привела к взлому инфраструктуры проекта NPM.

Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API (например, сборочный лог можно загрузить через URL вида "https://api.travis-ci.org/v3/job/5248126/log.txt", где число 5248126 - идентификатор лога). Для определения диапазона возможных идентификаторов логов был использован ещё один API ("https://api.travis-ci.org/logs/6976822"), обеспечивающий перенаправление на загрузку лога по порядковому номеру. Методом перебора в ходе исследования удалось без аутентификации определить около 770 млн логов, созданных с 2013 по май 2022 года в ходе сборки проектов, подпадающих под бесплатный тарифный план.

Анализ тестовой выборки показал, что во многих случаях в логе в открытом виде отражаются параметры доступа к репозиториям, API и хранилищам, достаточные для обращения к приватным репозиториям, внесения изменений в код или подключения к облачным окружениям, используемым в инфраструктуре. Например, в логах были найдены токены для подключения к репозиториям в GitHub, пароли для размещения сборок в Docker Hub, ключи для доступа к окружениям Amazon Web Services (AWS), параметры подключения к СУБД MySQL и PostgreSQL.

Примечательно, что похожие утечки через API фиксировались исследователями в 2015 и 2019 годах. После прошлых инцидентов компания Travis добавила определённые ограничения для затруднения массовой загрузки данных и урезала доступ к API, но данные ограничения удалось обойти. Кроме того, компанией Travis была предпринята попытка чистки конфиденциальных данных в логах, но данные были очищены лишь частично.

Утечка главным образом затронула пользователей открытых проектов, которым Travis предоставляет бесплатный доступ к своему сервису непрерывной интеграции. В ходе проверки, проведённой некоторыми сервис-провайдерами, было подтверждено, что около половины из выделенных из логов токенов и ключей остаются рабочими. Всем пользователям бесплатного варианта сервиса Travis CI рекомендуется срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.

  1. Главная ссылка к новости (https://blog.aquasec.com/travi...)
  2. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
  3. OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
  4. OpenNews: Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев
  5. OpenNews: Инцидент в сервисе непрерывной интеграции Travis CI
  6. OpenNews: Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57344-travis
Ключевые слова: travis, ci
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, еуые (?), 19:06, 13/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А зачем хранить логи сборки больше чем пару недель?
     
     
  • 2.9, Аноним (9), 19:33, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    написано же

    >около 73 тысяч токенов, учётных данных и ключей доступа

    вот за этим, а потом удивляетесь, что спецслужбы в очередной notepad++ внедрили руткиты.

     
  • 2.40, Аноним (-), 16:10, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем хранить логи ... больше чем пару недель?

    У товарища майора спроси?

     

  • 1.5, Аноним (5), 19:09, 13/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >Утечка
    >штатный API
    >бесплатный тарифный план с публичными логами
    >утечка

    Л - логика.

     
     
  • 2.10, Аноним (10), 20:23, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну а что, прекрасный способ баблосик пилить и не напрягаться при этом.
     
     
  • 3.38, ronrivest (?), 10:06, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > прекрасный способ баблосик пилить

    публиковать такие вот "исследования безапасносте" и после этого втирать на серьёзных щщах чтоб тебе платили бабло как крутому ибэ?
    норм план, только ниша немного занята уж. из каждого утюга уже бизапаснасть смердит

     

  • 1.6, Аноним (-), 19:13, 13/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API

    Тем временем сотрудники Travis CI "ничего не знают"

     
     
  • 2.7, Аноним (7), 19:22, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Надо бы им багрепорт
     
     
  • 3.8, Аноним (-), 19:27, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Закроют с "notabug", точнее, сразу незаметно удалят. Зачем им закрывать добровольный сбор конфиденциальной информации?
     
     
  • 4.17, Аноним (17), 22:56, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы это был мировой заговор рептилоидов, они бы не выставляли логи на весь мир, а делали их доступными только своим.
     
     
  • 5.27, Аноним (-), 10:20, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > доступными только своим

    Доступны только своим особо платежеспособные клиенты - пользователи платных приватных услуг.

     
  • 2.14, torvn77 (ok), 22:42, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Тем временем сотрудники Travis CI "ничего не знают"

    Я думаю что это проблема не Travis CI, а сборочных инструментов выводящих в логи логины, пароли и ключи.

     
     
  • 3.28, Аноним (-), 10:28, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > выводящих в логи

    Так и запишем, частную информацию, то есть, логи надо безответственно выводить в интернет. А системных случайных нашедших банить по dmca.

     
     
  • 4.30, torvn77 (ok), 13:03, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> выводящих в логи
    > Так и запишем, частную информацию, то есть, логи надо безответственно выводить в
    > интернет. А системных случайных нашедших банить по dmca.

    Как я понимаю люди на это дают полное согласие.

     

  • 1.11, ИмяХ (?), 21:17, 13/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Ну и? В чем проблема? Это же открытые проекты, значит в них всё и должно быть открыто.
     
     
  • 2.12, Аноним (12), 21:34, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Логично...
     

  • 1.13, YetAnotherOnanym (ok), 21:34, 13/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.
     
     
  • 2.15, torvn77 (ok), 22:45, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ругать надо не Travis CI и не юное дарование, а разработчиков инструментов за то что их инструменты шлют пароли и ключи непойми куда.  
    (Ну ладно, логин надо поместить в лог, но пароль и ключь зачем?)
     
     
  • 3.22, Аноним (22), 09:22, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так а кто в лог пишет то? Сам Travis CI и пишет.
     
     
  • 4.29, torvn77 (ok), 13:01, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда значит надо бить Travis.
     
  • 3.24, 1 (??), 09:33, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну чтоб понять "пачима не коннектицца ?"
     
  • 2.16, Аноним (17), 22:54, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.

    Цивилизованные страны взяли курс на запрет on-premise deployment.
    Достаточно вспомнить нововведения от Atlassian, или решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

     
     
  • 3.18, Аноним (18), 01:43, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Цивилизованные
    >страны
    >взяли курс
    >Atlassian, Ubiquity
    >страны

    В вашем посте прекрасно всё.

     
     
  • 4.20, Аноним (17), 03:08, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А в вашем явно не достаёт смысла.
     
  • 3.34, Аноним (34), 23:34, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

    Буквально 20 минут тому менял пароль на точке доступа Ubiquity, у которой нет подключения в интернет без всякой облачной веб-морды. Самая распоследняя прошивка и всё такое. Как же это так получилось?

     
  • 2.23, Аноним (-), 09:24, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пока бурлишь только ты. Старчески покряхтывая.
     
     
  • 3.25, Аноним (25), 09:53, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а вот и подгорающее юное дарование. Штанишки дырявые смени
     
  • 2.37, Аноним (34), 23:49, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это хорошая точка зрения, я такую поддерживаю. Чем меньше людей в странах третьего мира шарят за технологии, тем выше рейты.
     

  • 1.19, Аноним (19), 02:48, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отдадим на запад всех девопсеров-облачко-мышкотыкателей.
    На вырученные деньги вернём думающих админов оттуда.
     
     
  • 2.33, Наноним (?), 23:27, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все думающие админы ушли в девопсы, вот незадача.
    Потому что делать примерно то же самое (плюс CI/CD, что для нормального админа - не проблема), за гораздо большие деньги - это логичное решение, если ты не тупой жирный пивной алкаш в растянутом свитре.
     
     
  • 3.42, Онаним (?), 14:27, 16/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В девляпсы ушли те, кто админом на масло заработать себе не смог.
    Т.е. самый низовой сегмент среди админов. Инфраструктурщики так-то не меньше девляпсов получают, просто там квалификация нужна другая.
     
     
  • 4.43, Онаним (?), 14:30, 16/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и разница в том, что хороший инфраструктурщик вот так чётенько пассворд от инфраструктуры не про@#%т никогда.
     
  • 2.35, Аноним (34), 23:37, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А они возьмут и не поедут — зачем, если платят хорошо, жить вольно, есть сытно и интернет не по талонам? Но деньги давай, да. Деньгам всегда работа найдётся.
     

  • 1.31, Аноним (34), 16:04, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Системы CI/CD обычно используют одноразовые токены с малым сроком жизни (минуты) и ограниченным контекстом без возможности повторного использования. Почему в каких-то проектах не так — вопрос к админам тех проектов.
     
  • 1.32, Легивон (?), 20:22, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жесть. Оказывается такой архаизм как travis ci еще существует.
    Как это возможно? Кто-то просто забыл мигрировать? Да?
    Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS, когда кругом взрослые свободные решения: jenkins, gitlab.
    Зачем оно нужно?
     
     
  • 2.36, Аноним (34), 23:44, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS

    Ну например, на него надо меньше времени тратить, чем на «взрослые свободные решения». Код не мой, компания не моя, хотите Travis CI — валяйте, мне один чёрт. Если за минуту не понял в чём дело, пишу в саппорт и они чинят за меня. С гитлабом, даже платным саппортом, приходится куда больше возиться. А Дженкинс я в гробу видал.

     

  • 1.39, fuggy (ok), 15:58, 15/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот и продолжайте использовать централизованные платформы.
    И вообще непонятно зачем логи направлять в централизованное место. Да ещё чтобы они потом было доступы по API даже без авторизации.
     
  • 1.41, Онаним (?), 14:25, 16/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ахах, девляпс-CI, вот это всё. По ходу риск-менеджмент ушёл в глубокое прошлое везде.
     
  • 1.44, Аноним (44), 09:09, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А они посчитали сколько из этих конфиденциальных данных составляют одноразовые пароли генерируемые на каждую сборку?

    А сколько там паролей от сервисов с которыми нет связи без VPN?

    А какую часть составляют пароли от сервисов в docker контейнерах которые уничтожаются после сборки?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру