未修补的Travis CI API漏洞暴露了数以万计的用户令牌

近日，Aqua Security公司Nautilus团队的研究人员报告称，持续集成开发工具Travis CI的API正在泄露数以万计的身份令牌和其他安全敏感机密。安全专家在一份新报告中表示，其中许多泄露信息允许黑客访问Github、Docker、AWS和其他代码存储库上开发人员的私人账户。研究人员使用Travis CI API访问分两批采集了大量明文日志数据，数量分别为4.28亿和7.7亿条，他们对其中一小部分数据进行采样分析就发现了7.3万个令牌、机密信息和各种证书。针对该发现，Travis CI目前没有公开回复。