Рига: +5.7°С
Угроза в открытом доступе: обнаружены тысячи скомпрометированных API-ключей
Недавнее исследование, проведенное учеными из Стэнфордского университета, выявило серьезную проблему в сфере веб-безопасности: тысячи активных веб-сайтов ошибочно передают конфиденциальные данные, что потенциально угрожает финансовой и личной информации миллионов пользователей. Специалисты обнаружили, что в рабочем коде этих ресурсов оказались в открытом доступе критически важные учетные данные API (Application Programming Interface) — цифровые ключи, используемые для взаимодействия с внешними сервисами.
Проект, возглавляемый Нуруллой Демиром и ее коллегами, был направлен на анализ 10 миллионов сайтов с целью выявления фактов раскрытия этих токенов. API-ключи, по сути, являются цифровыми пропусками, которые необходимы для авторизации различных операций, включая обработку банковских платежей или доступ к защищенным облачным хранилищам.
Методология и масштаб проблемы
Для сбора данных исследователи использовали обширную базу данных HTTP Archive, которая регулярно фиксирует активность миллионов веб-ресурсов. Анализируя, как сайты обрабатывают данные в процессе загрузки страницы, команда смогла обнаружить текстовые строки, представляющие собой учетные данные, которые не должны были стать достоянием общественности.
По результатам сканирования было выявлено 1748 подтвержденных действующих учетных записей от ведущих провайдеров, таких как Amazon, Stripe и OpenAI. Наличие этих ключей в открытом доступе означает, что любой злоумышленник, получивший к ним несанкционированный доступ, теоретически может проникнуть в облачные серверы компаний, получить доступ к банковским счетам или извлечь базы данных клиентов.
JavaScript как главный источник утечек
Ученые подчеркивают, что основная масса обнаруженных утечек была сосредоточена в файлах JavaScript. Эти файлы содержат фоновые инструкции, которые управляют функциональностью веб-страниц. Исследователи отметили, что эти учетные данные часто просачиваются в код во время компиляции и обнаруживаются только в реальных производственных средах, что делает традиционные методы статического сканирования неэффективными для обнаружения подобных уязвимостей в веб-среде.
Обеспокоенность вызывает и временной фактор. Анализ показал, что некоторые скомпрометированные ключи оставались доступными для публичного обозрения в течение года, а в отдельных, редких случаях, утечка сохранялась и дольше.
Последствия и ответственность
Обнародование таких ключей несет прямую угрозу утечки конфиденциальной информации и финансовых отчетов миллионов людей, поскольку скомпрометированные токены могут обеспечивать доступ к широкому спектру чувствительных данных. Хотя ответственность за утечку не лежит на самих поставщиках услуг вроде Amazon или Stripe, она целиком ложится на разработчиков программного обеспечения, которые допустили попадание этих секретов в общедоступный код.
«Наши результаты демонстрируют, что подавляющее большинство утечек происходит во время компиляции и обнаруживается исключительно в реальных производственных средах (например, внутри JavaScript-пакетов), что делает методы статического сканирования, использованные в предыдущих работах, принципиально недостаточными для веб-среды», — заключают авторы исследования.
Для бизнеса, особенно работающего с платежными системами и облачными ресурсами, это исследование является наглядным напоминанием о необходимости регулярного аудита всего рабочего кода, а также о важности использования методов, гарантирующих, что чувствительные учетные данные обрабатываются вне зоны видимости конечного пользователя.
Следите за новостями на других платформах: