3519 подписчиков

#news Сервис Travis CI вновь засветил десятки тысяч токенов для доступа к GitHub, AWS и Docker.

Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.

Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.

#news Сервис Travis CI вновь засветил десятки тысяч токенов для доступа к GitHub, AWS и Docker.

Около минуты

16 июня 2022