安全厂商Aqua Security发现，持续集成服务平台Travis CI免费版的防护缺失，致用户Log资料曝光，并危及访问GitHub、AWS和Docker Hub等云计算服务的登录凭证。而这已是该企业近年来第三次安全事件。

Aqua Security下的Team Nautilus近日测试发现，Travis CI API可使攻击者访问免费版本用户的log，超过7.7亿笔log因此曝光，从中可以很轻易取得用户访问其他云计算服务如GitHub、AWS、Docker Hub、PostgreSQL的权限（user token）、密码或其他登录凭证。这些机密资料可让攻击者发动大规模攻击，或是在云计算横向移动。

这至少是Travis CI近年来第三次见报的安全疏漏。前两次分别在2015年及2019年。2015年该公司公告其公开API遭分布式攻击，泄露GitHub验证权限。2019年一群研究人员则展示可取得Travis CI在内云计算服务企业的用户凭证。但这些漏洞似乎从未修补。

Aqua Security的研究中，研究人员发现2个API call让他们得以取得明码的log，再搭配枚举指令，取得大量log。他们一共取得7.74亿笔log，时间从2013年1月到今年5月。研究人员以其中1%、约800万个log进行测试，成功找到7.3万笔权限、密码或其他凭证，包括知名云计算服务如GitHub访问权限、AWS密钥、MySQL、PostgreSQL凭证、Docker Hub密码等资讯。

研究人员也利用从中找到的GitHub OAuth权限、AWS S3 bucket密钥，模拟出在云计算横向移动，完成目标AWS S3 bucket泄密的攻击。其他可能攻击还包括窃取源码、黑入程序代码存储库完成软件供应链。

或许有些资料已被用于其他攻击中。4月间GitHub对用户警告，由于Heroku及Travis-CI的OAuth用户权限外泄，导致平台上某些npm私有存储库被黑客访问。

研究人员指出，Travis CI的确有采取混淆手法（obfuscation）包括凭证资讯，也提供防资料外泄的建议，但他们结合API、访问特定受限制的log及防堵不周的缺失，而得以取得用户资料。研究人员很快向Travis CI通报，但得到的回应是，这不是漏洞，而是设计初衷如此（by design）。

研究人员同时也将发现告知上述相关云计算企业，几乎所有企业都立即回应，一些厂商启动密钥的轮换（rotate）、另一些则证实至少一半曝光的用户凭证是有效的。还有企业提供了漏洞挖掘奖金。

针对开发人员，安全厂商建议采用安全防护措施，包括创建密钥、权限等凭证的轮换政策、密钥及权限皆使用最小权限、定期扫描CI/CD环境的安全设置、也不要将密码或权限、密钥资料明文存储在log中。