Más de 770 millones de registros disponibles a través de la API de Travis CI: Cualquiera puede extraer tokens, secretos y otras credenciales asociadas a servicios como GitHub, AWS y Docker Hub

La plataforma de desarrollo y pruebas de software Travis CI confirmó el segundo incidente de exposición de datos de sus usuarios en menos de un año. En esta ocasión, los registros comprometidos incluyen tokens de autenticación que permitirían acceder a plataformas como AWS, GitHub, y Docker Hub.

Según un informe preparado por la firma Aqua Security, decenas de miles de tokens de usuario se habrían visto expuestos a través de la API Travis CI, que contiene más de 770 millones de registros con múltiples tipos de credenciales pertenecientes a usuarios de suscripciones gratuitas.

Según el informe, Travis CI no aplicó suficientes protecciones para los números de registro, lo que permitiría la ejecución de un script de enumeración para recuperar un número no determinado de cadenas de código: “Esto no es fácil con otros proveedores ya que deben mencionar en la URL un ID de cliente, dificultando la ejecución de enumeración en los registros”.   

Durante esta investigación también se encontró una segunda llamada a la API en un sistema API documentado que estaba permitiendo el acceso a otro conjunto de registros en texto sin formato que antes no estaban disponibles. Usando los dos métodos, los investigadores de pudieron encontrar registros que datan de enero de 2013 a mayo de 2022.

Aqua Security estima que los registros válidos están en un rango de entre 4.2 millones y 774 millones. Después de analizar una muestra de 8 millones de registros, los expertos encontraron cerca de 73,000 cadenas confidenciales en forma de tokens, secretos y varias credenciales asociadas con servicios en la nube como GitHub, AWS y Docker Hub.

Los expertos señalan que algunos de los datos en los registros históricos estaban ofuscados. No obstante, esta es una medida insuficiente debido a que Travis CI permite a los desarrolladores usar varias convenciones de nomenclatura para información confidencial.

“Descubrimos que, en muchos casos, “github_token” estaba enmascarado y no revelaba ningún secreto. Sin embargo, encontramos alrededor de 20 variaciones de este token que no fueron protegidos de ningún modo por Travis CI”, agregan los investigadores.

Travis CI recibió un informe y, si bien los investigadores creían que los errores serían abordados pronto, un mensaje de la plataforma respondió mencionando que este es un problema de diseño y probablemente no será corregido. La exposición de registros de usuarios parece ser un problema recurrente para Travis CI, ya que se han publicado informes sobre este tipo de riesgo en 2015, 2019 y 2021.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).