گواهی برای هزاران پروژه منبع باز، رایگان – دوباره!

بزرگنمایی (اعتبار: Getty Images)

سرویسی که به توسعه‌دهندگان منبع باز کمک می‌کند تا نرم‌افزار را بنویسند و آزمایش کنند، هزاران توکن احراز هویت و دیگر اسرار حساس به امنیت را فاش می‌کند. کارشناسان امنیتی در گزارشی جدید اعلام کردند که بسیاری از این درزها به هکرها اجازه می دهد تا به حساب های خصوصی توسعه دهندگان در Github، Docker، AWS و دیگر مخازن کد دسترسی پیدا کنند.

در دسترس بودن اعتبارنامه شخص ثالث Travis CI حداقل از سال 2015 یک مشکل دائمی بوده است. در آن زمان، سرویس آسیب پذیری امنیتی HackerOne گزارش داد که حساب Github آن در معرض خطر قرار گرفته است زمانی که این سرویس یک نشانه دسترسی برای یکی از توسعه دهندگان HackerOne را فاش کرد. . نشت مشابهی در سال 2019 و سال گذشته دوباره ظاهر شد.

توکن ها به هر کسی که به آنها دسترسی دارد این امکان را می دهد که کد ذخیره شده در مخازنی را که تعداد بی شماری برنامه های کاربردی نرم افزاری فعلی و کتابخانه های کد را توزیع می کنند، بخواند یا تغییر دهد. امکان دسترسی غیرمجاز به چنین پروژه‌هایی امکان حملات زنجیره تامین را باز می‌کند که در آن شرکت‌کنندگان در تهدید، نرم‌افزارهای مخرب را قبل از توزیع بین کاربران جعل می‌کنند. مهاجمان می توانند از توانایی خود برای تغییر برنامه برای هدف قرار دادن تعداد زیادی پروژه که به برنامه کاربردی در سرورهای تولیدی متکی هستند، استفاده کنند.