Обложка канала

DarkNetNews

Самые горячие, интересные, актуальные новости из мира Darknet и не только. Вопросы рекламы решаются здесь: @apollosave

DarkNetNews

4 года назад
Открыть в
​​📌Уязвимость в безопасности API Travis CI оставила десятки тысяч пользовательских токенов разработчиков и другую конфиденциальную информацию незащищенной. Хакеры могут использовать учетные данные для проведения атак на GitHub , Amazon Web Services , Docker Hub и другие популярные облачные сервисы. Согласно сообщению в блоге Team Nautilus, об этой уязвимости в API было известно еще в 2015 году, но она до сих пор может быть использована для проведения облачных атак. Специалисты отметили, что пользователи бесплатного варианта Travis CI находятся в зоне риска. В ходе исследования аналитики компании Aqua Security смогли получить доступ к более чем 770 млн логов, полных токенов для подключения к репозиториям в GitHub, паролей для размещения сборок в Docker Hub, ключей для доступа к окружениям Amazon Web Services (AWS) и параметров подключения к СУБД MySQL и PostgreSQL. Все это может быть использовано хакерами для бокового перемещения через облачные сервисы с последующими атаками. Специалисты Aqua Security повторно сообщили об уязвимости компании Travis и порекомендовали всем пользователям бесплатного варианта Travis CI срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.