Serviço de nuvem Travis CI expõe milhares de tokens de autenticação

Siga o Olhar Digital no Google Discover

Dezenas de milhares de tokens de autenticação com informações sensíveis estão sendo expostos no Travis CI, um serviço que auxilia desenvolvedores de código aberto a testar softwares hospedados no GitHub e outras plataformas. É o que apontam os pesquisadores da empresa de cibersegurança Aqua, em publicação nesta semana. Segundo a equipe, boa parte dos vazamentos permite que hackers acessem contas privadas de desenvolvedores no Github e no AWS, entre outros repositores de código-fonte.

Ofertas

Vendido por Amazon

soundcore Q20i da Anker, Fone de Ouvido Bluetooth com Cancelamento de Ruído Híbrido Ativo, Headphone Sem Fio, 60h Bateria, Áudio Hi-Res, Graves Potentes, App Personalização, Modo Transparência, Azul

Por R$ 311,29

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Rosa)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (preto)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Smart TV TCL 43 Polegadas LED Full HD S5400A Android TV WiFi Bluetooth Google Assistente 43S5400A

De: R$ 1.899,00
Por: R$ 1.449,99

Vendido por Amazon

Garmin Relógio Instinct 3 Verde 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 5.899,00
Por: R$ 3.799,00

Vendido por Amazon

SEMP SMART TV 55” 55S62 4K UHD GOOGLE TV

De: R$ 2.499,00
Por: R$ 1.999,99

Vendido por Amazon

Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais

De: R$ 1.199,00
Por: R$ 999,00

Vendido por Amazon

soundcore AeroClip da Anker, Fones de Ouvido Blutooth Abertos, Clip-On, Conforto Adaptativo, Chamadas Claras com 4 Microfones e IA, Ajuste Estável, Drivers de 12mm para Graves Potentes, Rosa

De: R$ 1.199,00
Por: R$ 889,00

Vendido por Amazon

Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa

De: R$ 123,90
Por: R$ 79,90

Vendido por Amazon

Mouse Sem Fio Logitech M240 com Conexão Bluetooth, Clique Silencioso, Design Ambidestro Compacto, Bateria de 18 Meses, Compatível com Windows, macOS, ChromeOS - Branco

De: R$ 95,90
Por: R$ 59,90

Vendido por Amazon

Samsung Smart TV 75" Crystal UHD 4K U8100F 2025

De: R$ 5.299,99
Por: R$ 4.460,93

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Projetor BYINTEK U14 4K 1080P WiFi Smart Full HD Projetor, Foco Automático, 1250 ANSI Lumens, Totalmente Selado à Prova de Poeira, Alto-falante Integrado de 12 W, Home Theater móvel

De: R$ 1.799,00
Por: R$ 1.709,05

De acordo com a Aqua, por conta da falha, qualquer pessoa praticamente pode acessar, de forma gratuita, logs históricos de texto simples. Mais de 770 milhões deles — todos pertencentes a usuários em nível gratuito — são tokens e credenciais que podem ser utilizados por eventuais agentes para se mover pela nuvem e efetuar ataques cibernéticos.

A Aqua reportou a descoberta à Travis CI. Em resposta, a empresa alemã respondeu que a falha se dá “em função do design”. Por conta disso, os pesquisadores recomendam que todos os usuários com nível gratuito no serviço alternem suas palavras-chave “imediatamente”.

Leia mais:

• Ghost Touch: hackers acessam tela touchscreen do celular sem precisar tocá-la
• Pesquisa mostra que 76% das empresas pagam criminosos de ransomware, mas 24% não recuperam os dados; entenda!
• Ataque ransomware fecha de vez faculdade fundada em 1865

Problema de longa data

Esta não é a primeira vez que um problema de autenticação ocorre no Travis CI. Em 2015, a plataforma de cibersegurança HackerOne relatou que sua conta no GitHub foi comprometida após o serviço de integração contínua expor um token para um de seus desenvolvedores. Um vazamento parecido aconteceu em 2019 e no ano passado.

Os pesquisadores da Aqua tiveram acesso a dois lotes de dados na plataforma, que renderam 4,28 milhões e 770 milhões de logs entre 2013 e maio de 2022. Após uma pequena porcentagem de informação, a equipe descobriu o que acredita ser 73 mil tokens, segredos e credenciais expostas.

O Travis CI fornece um serviço chamado de integração contínua (IC). Comum entre desenvolvedores, esse procedimento facilita e automatiza o processo de construção e teste de cada alteração de código em um software. Para cada mudança, o código é compilado, testado e mesclado em um repositório. O serviço da empresa alemã existe desde 2011.

Via Ars Technica

Crédito da imagem principal: NicoElNino/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!