放大(图片来源:Getty Images)
一项帮助开源开发人员编写和测试软件的服务正在泄露数以千计的身份验证令牌和其他安全敏感机密。安全专家在一份新报告中表示,其中许多漏洞允许黑客访问 Github、Docker、AWS 和其他代码存储库上开发人员的私人账户。
至少自 2015 年以来, Travis CI的第三方开发人员凭据的可用性一直是一个持续存在的问题。当时,安全漏洞服务 HackerOne 报告说,当该服务暴露其中一个的访问令牌时,它使用的一个 Github 帐户已被泄露HackerOne 开发人员。类似的泄漏在 2019 年和去年再次出现。
令牌使任何有权访问它们的人都能够读取或修改存储在存储库中的代码,这些存储库分发无数正在进行的软件应用程序和代码库。未经授权访问此类项目的能力开启了供应链攻击的可能性,其中威胁行为者在恶意软件分发给用户之前对其进行篡改。攻击者可以利用他们篡改应用程序的能力来瞄准大量依赖生产服务器中的应用程序的项目。