Los desarrolladores de Travis CI, una plataforma DevOps de integración continua y entrega continua (CI/CD) recientemente emitieron un comunicado reconociendo la detección de un problema de seguridad, aunque restaron importancia al mismo.
En su mensaje, la plataforma señala que un repositorio público bifurcado podría presentar una solicitud de extracción (funcionalidad estándar, por ejemplo, en GitHub, BitBucket, Assembla), permitiendo un acceso no autorizado al secreto del repositorio público original con la condición de imprimir algunos archivos durante el proceso de construcción.
Aunque al inicio se desestimó la gravedad del informe argumentando que el problema solamente afectaba a los repositorios públicos, la comunidad de la ciberseguridad comenzó a analizar el problema a profundidad, concluyendo que este error podría ser mucho más serio de lo que se pensaba.
Péter Szilágyi, especialista en ciberseguridad de Etherium, criticó a Travis CI por descartar tal riesgo de seguridad como si se tratara de un problema menor, afirmando que esto representa un riesgo de envenenamiento de la cadena de suministro para las firmas trabajando con este software: “Entre el 3 y el 10 de septiembre, las variables env seguras de todos los repositorios públicos de @travisci se inyectaron en las compilaciones de PR [pull request]. Firma de claves, credenciales de acceso, tokens API. Cualquiera podría exfiltrarlos y desplegar ataques de movimiento lateral en miles de organizaciones potencialmente vulnerables”, menciona el experto.
Para el experto, Travis CI también se equivocó al no reconocer los informes de vulnerabilidades en sus sistemas o por no seguir las mejores prácticas de respuesta a incidentes: “Sin análisis, informes de seguridad o cualquier otra medida de protección, los usuarios podrían haberse vistos seriamente expuestos”.
Este es un claro ejemplo del mal manejo de incidentes que caracteriza a las compañías desarrolladoras de software, que buscan evitar un caos de relaciones públicas a costa de mantener a los usuarios expuestos a toda clase de riesgos de seguridad.
Hasta el momento, Travis CI sigue sin responder a los comentarios de Szilágyi y otros miembros de la comunidad de la ciberseguridad, aunque se espera que esta situación cambie en los próximos días.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.