Een lek in de Travis CI API maakt tienduizenden inloggegevens van developers openbaar.

De Travis CI API is een populaire testtool voor code in GitHub en Bitbucket. Developers gebruiken de API om programmeerfouten weg te werken. Onderzoek van Aqua Security wijst uit dat de API de access tokens van gratis gebruikers toestuurt naar iedereen die erom vraagt.

Access tokens

Access tokens zijn toegangsbewijzen voor applicaties en systemen. De meeste grote platforms wisselen access tokens uit om gebruikers te identificeren. Dit maakt het bijvoorbeeld mogelijk om met een Google-account in te loggen voor een andere dienst. Repositories als GitHub en Bitbucket bewaren access tokens om te zorgen dat een applicatie automatisch toegang heeft tot de webapps en API’s die worden gebruikt.

De Travis CI API is een populaire testtool voor code op GitHub en Bitbucket. Gebruik je de gratis versie, dan liggen jouw access tokens voor het oprapen. Dat blijkt uit onderzoek van securitybedrijf Aqua Security.

De gratis versie van de Travis CI API houdt logs bij over de code die voor gebruikers wordt gescand. De logs zijn via een API call op te vragen. De logs tonen de access tokens van de GitHub-omgevingen van gebruikers, waaronder inloggegevens voor Docker Hub en AWS. Tienduizenden access tokens liggen voor het oprapen.

Matige reactie

Aqua Security informeerde Travis CI over het lek. Volgens Travis CI hoort de functie bij “het ontwerp” van de API. De ontwikkelaar weigert het ontwerp aan te passen.

Naast Travis CI nam Aqua Security contact op met meerdere populaire cloudproviders. De access tokens van hun gebruikers staan immers op het spel. Een aantal providers forceerde alle gebruikers om opnieuw in te loggen of nieuwe access tokens in te stellen. Heb je in het verleden met de gratis versie van de Travis CI API gewerkt, dan kan je hetzelfde doen. Aqua Security adviseert developers om access tokens regelmatig te wijzigen.

Tip: API’s zijn onmisbaar, maar ook een securityrisico