I dati del progetto Travis CI sono diventati pubblicamente disponibili tra il 3 e il 10 settembre, riferisce Arstechnica.
L’interruzione del servizio di integrazione continua del software Travis CI ha compromesso i dati di migliaia di progetti open source. Secondo l’esperto di sicurezza Felix Lang, la vulnerabilità di Travis CI ha portato all’intercettazione di tali variabili di ambiente protetto come token API, chiavi di firma e dati dell’account da parte degli aggressori.
L’incidente è stato assegnato al codice CVE-2021-41077, gli sviluppatori hanno stabilito che la violazione dei dati si è verificata tra il 3 e il 10 settembre e interessa gli assembly creati durante questo periodo di tempo.
Per attivare un progetto open source, è necessario aggiungere ai repository del progetto un file .travis.yml contenente dati personali crittografati.
Un’altra fonte della perdita, gli sviluppatori indicano l’interfaccia web di Travis CI, che contiene anche dati protetti.
“Le variabili di ambiente crittografate non sono disponibili per il recupero delle richieste dai fork a causa del rischio di divulgare tali informazioni sul codice a sconosciuti”, afferma la guida di Travis CI.
Come osserva Lang, la perdita è stata scoperta in tempi relativamente brevi – gli sviluppatori del servizio hanno appreso del problema il 7 settembre – e hanno già risolto la vulnerabilità, tuttavia, agli utenti di Travis CI viene chiesto di essere vigili e creare nuove chiavi per progetti e token API, poiché nonché aggiornare i dati del proprio account.
Travis CI è una piattaforma di integrazione continua open source gratuita per qualsiasi progetto GitHub che supporta molti linguaggi di programmazione.
