Entre los días 3 y 10 de septiembre, los repositorios públicos de código abierto que hicieron uso de la herramienta Travis CI estuvieron exponiendo sus contraseñas, credenciales y tokens a un posible robo. Felix Lange, desarrollador de Ethereum, descubrió la vulnerabilidad el día 7 y dio la voz de alarma a los responsables de la plataforma.

Y, si bien ésta ya ha quedado parcheada, el equipo de Ethereum afirma ahora que tuvieron que presionar a los responsables de Travis CI para que tomaran medidas, y que —tras hacerlo— no se explicó debidamente la situación al resto de usuarios afectados. Según afirmaron en Twitter,

"tras tres días siendo presionados por múltiples proyectos, @travisci parcheó silenciosamente el problema el día 10. [No se ha llevado a cabo] ningún análisis, ningún informe de seguridad, ninguna autopsia, ninguna advertencia a ninguno de sus usuarios de que sus secretos podrían haber sido robados".

Finalmente, Travis CI ha admitido públicamente la vulnerabilidad (clasificada como CVE-2021-41077), si bien ha minimizado su importancia:

"Según la información recibida, un repositorio público bifurcado a partir de otro podría presentar una solicitud de extracción y, al hacerlo, obtener acceso no autorizado a los datos secretos del repositorio original. En este escenario, dichos datos siguen cifrados en la base de datos de Travis CI. El problema sólo se aplica a repositorios públicos, no a repositorios privados".

En Genbeta

Linus Torvalds dice que GitHub "crea fusiones de basura absolutamente inútiles"
…