Serviço de nuvem Travis CI expõe milhares de tokens de autenticação

Siga o Olhar Digital no Google Discover

Dezenas de milhares de tokens de autenticação com informações sensíveis estão sendo expostos no Travis CI, um serviço que auxilia desenvolvedores de código aberto a testar softwares hospedados no GitHub e outras plataformas. É o que apontam os pesquisadores da empresa de cibersegurança Aqua, em publicação nesta semana. Segundo a equipe, boa parte dos vazamentos permite que hackers acessem contas privadas de desenvolvedores no Github e no AWS, entre outros repositores de código-fonte.

Ofertas

Vendido por Amazon

Painel Central Inteligente Wi-Fi e Hub Zigbee NovaDigital PCI01-Z C Tuya e Smart Life Comando de Voz Compatível com Alexa e Google Assistente

De: R$ 915,41
Por: R$ 678,90

Vendido por Amazon

Peak Game; Hill Climber – Mountain Climbing Adventure & Survival Challenge

Por R$ 11,09

Vendido por Amazon

Royale Knockout Run: Fun Race Challenge

Por R$ 37,69

Vendido por Amazon

Dino T-Rex Runner: Offline Endless Jump Adventure Game – Dinosaur Arcade Action & Survival Challenge

Por R$ 9,53

Vendido por Amazon

Romantic Crown Mochila de Viagem Expansivel Masculina Feminina, Mochila Para Notebook Executiva Impermeável Reforçada Cabo USB, Trabalho, Escola, Viagens (Preto)

De: R$ 119,99
Por: R$ 112,40

Vendido por Amazon

US Army Vehicle Transport : Army Truck Driving Simulator Game 2025

Por R$ 64,55

Vendido por Amazon

Samsung Galaxy Watch Ulta Smartwatch 47mm LTE- Titânio Azul

De: R$ 4.999,00
Por: R$ 2.288,93

Vendido por Amazon

Material Dourado Com 74 Peças Pais & Filhos Dourado

De: R$ 11,85
Por: R$ 8,28

Vendido por Amazon

Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V

De: R$ 2.499,00
Por: R$ 1.998,89

Vendido por Amazon

Freezer Vertical Consul 231 Litros - CVU26FB 110V

De: R$ 3.279,35
Por: R$ 2.498,89

Vendido por Amazon

WAP Ventilador de Torre AIR SILENCE com 4 Níveis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V

De: R$ 599,90
Por: R$ 491,92

Vendido por Amazon

MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W

De: R$ 189,90
Por: R$ 129,90

Vendido por Amazon

Climatizador de Ar Digital Midea 127V 60Hz

De: R$ 529,99
Por: R$ 412,69

Vendido por Amazon

Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm

De: R$ 799,00
Por: R$ 593,00

Vendido por Amazon

Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm

De: R$ 3.799,00
Por: R$ 3.598,94

Vendido por Amazon

Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica

De: R$ 699,00
Por: R$ 499,00

Vendido por Amazon

PlayStation DualSense Controle sem fio – Branco

De: R$ 499,90
Por: R$ 369,00

Vendido por Amazon

Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt

De: R$ 2.489,00
Por: R$ 1.616,02

Vendido por Amazon

MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P

De: R$ 259,90
Por: R$ 179,90

Vendido por Amazon

Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W

De: R$ 3.599,00
Por: R$ 3.099,00

Vendido por Amazon

Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v

De: R$ 299,90
Por: R$ 199,00

Vendido por Amazon

soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável

De: R$ 249,00
Por: R$ 166,19

Vendido por Amazon

Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)

De: R$ 899,90
Por: R$ 399,00

Vendido por Amazon

WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt

De: R$ 229,90
Por: R$ 132,00

Vendido por Amazon

CAMERA INSTAX MINI 12 ROSA GLOSS

De: R$ 649,00
Por: R$ 505,00

De acordo com a Aqua, por conta da falha, qualquer pessoa praticamente pode acessar, de forma gratuita, logs históricos de texto simples. Mais de 770 milhões deles — todos pertencentes a usuários em nível gratuito — são tokens e credenciais que podem ser utilizados por eventuais agentes para se mover pela nuvem e efetuar ataques cibernéticos.

A Aqua reportou a descoberta à Travis CI. Em resposta, a empresa alemã respondeu que a falha se dá “em função do design”. Por conta disso, os pesquisadores recomendam que todos os usuários com nível gratuito no serviço alternem suas palavras-chave “imediatamente”.

Leia mais:

Problema de longa data

Esta não é a primeira vez que um problema de autenticação ocorre no Travis CI. Em 2015, a plataforma de cibersegurança HackerOne relatou que sua conta no GitHub foi comprometida após o serviço de integração contínua expor um token para um de seus desenvolvedores. Um vazamento parecido aconteceu em 2019 e no ano passado.

Os pesquisadores da Aqua tiveram acesso a dois lotes de dados na plataforma, que renderam 4,28 milhões e 770 milhões de logs entre 2013 e maio de 2022. Após uma pequena porcentagem de informação, a equipe descobriu o que acredita ser 73 mil tokens, segredos e credenciais expostas.

O Travis CI fornece um serviço chamado de integração contínua (IC). Comum entre desenvolvedores, esse procedimento facilita e automatiza o processo de construção e teste de cada alteração de código em um software. Para cada mudança, o código é compilado, testado e mesclado em um repositório. O serviço da empresa alemã existe desde 2011.

Via Ars Technica

Crédito da imagem principal: NicoElNino/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!