Tisíce webových stránek, včetně těch, které provozují velké banky a poskytovatelé zdravotní péče, neúmyslně odhalily citlivé bezpečnostní údaje, které potenciálně umožňují neoprávněný přístup ke kritickým systémům. Nový výzkum ukazuje, že soukromé klíče RSA a další klíče API zůstávají veřejně dostupné měsíce a někdy i roky, což představuje značné riziko pro digitální infrastrukturu.
Rozsah problému
Výzkumníci ze Stanfordské univerzity analyzovali 10 milionů webových stránek a identifikovali 1 748 aktivních přihlašovacích údajů od 14 hlavních poskytovatelů služeb – včetně Amazon Web Services, Stripe, GitHub a OpenAI – rozptýlených na téměř 10 000 webech. Tyto přihlašovací údaje slouží jako přístupové tokeny ke cloudovým platformám, platebním systémům a službám pro zasílání zpráv, což útočníkům umožňuje vydávat se za servery, dešifrovat komunikaci nebo převzít administrativní kontrolu.
Problémem není přímá chyba poskytovatelů služeb, ale spíše špatné bezpečnostní postupy ze strany vývojářů softwaru a provozovatelů webových stránek. Výzkumníci identifikovali postižené organizace jako „globálně systémově důležitou finanční instituci“, „vývojáře firmwaru“ a „hlavní hostingovou platformu“.
Jak dochází k únikům pověření
Naprostá většina (84 %) odhalených přihlašovacích údajů byla nalezena v prostředí JavaScriptu, pravděpodobně kvůli způsobu, jakým vývojáři balí kód. Zbývajících 16 % pochází ze špatně nakonfigurovaných zdrojů třetích stran, jako jsou zranitelné pluginy nebo skripty.
“Žádný z těchto vývojářů neměl v úmyslu být nezabezpečený; mnozí z nich se vůbec nemýlili. Klíče API byly zveřejněny kvůli programátorským zvláštnostem souvisejícím s tím, jak jazyk funguje a běží na serveru.” – Katie Paxton-Fear, Manchester Metropolitan University.
To zdůrazňuje systémovou zranitelnost, kde i bezpečné vývojové postupy mohou neúmyslně vést k odhalení kvůli základním programátorským zvláštnostem.
Reakce a zmírnění
Výzkumníci informovali dotčené organizace a přibližně polovina smazala odhalené klíče do dvou týdnů. Některé organizace však nereagovaly, takže přihlašovací údaje byly veřejně dostupné v průměru 12 měsíců – některé zůstaly online až pět let.
Řešení problému vyžaduje mnohostranný přístup: vývojáři musí pečlivě nakonfigurovat prostředí, tvůrci nástrojů musí navrhnout software tak, aby ve výchozím nastavení skryl soukromé klíče, a hostitelské platformy musí aktivně vyhledávat a deaktivovat odhalené přihlašovací údaje.
Široký rozsah této chyby zabezpečení zdůrazňuje kritickou chybu ve vývoji moderního softwaru. Klíče API, pokud nejsou správně nakonfigurovány, mohou útočníkům umožnit jednat jako autorizovaní uživatelé s katastrofálními následky. Problém není jen technický; jde také o povědomí a sdílenou odpovědnost v celém digitálním ekosystému.
