Tausende Websites, darunter solche von Großbanken und Gesundheitsdienstleistern, haben unbeabsichtigt vertrauliche Sicherheitsdaten preisgegeben, wodurch möglicherweise unbefugter Zugriff auf kritische Systeme gewährt wurde. Eine neue Studie zeigt, dass private RSA-Schlüssel und andere API-Anmeldeinformationen über Monate oder sogar Jahre öffentlich zugänglich bleiben, was ein erhebliches Risiko für die digitale Infrastruktur darstellt.
Der Umfang des Problems
Forscher der Stanford University analysierten 10 Millionen Webseiten und identifizierten 1.748 aktive Anmeldeinformationen von 14 großen Dienstanbietern – darunter Amazon Web Services, Stripe, GitHub und OpenAI – verteilt auf fast 10.000 Websites. Diese Anmeldeinformationen fungieren als Zugriffstoken für Cloud-Plattformen, Zahlungsabwickler und Messaging-Dienste und ermöglichen es Angreifern, sich als Server auszugeben, Kommunikation zu entschlüsseln oder die administrative Kontrolle zu übernehmen.
Das Problem liegt nicht direkt bei den Dienstanbietern selbst, sondern ist auf schlechte Sicherheitspraktiken von Softwareentwicklern und Website-Betreibern zurückzuführen. Die Forscher identifizierten betroffene Unternehmen, darunter ein „weltweit systematisch wichtiges Finanzinstitut“, einen „Firmware-Entwickler“ und eine „große Hosting-Plattform“.
Wie Anmeldeinformationen durchgesickert sind
Die Mehrheit (84 %) der offengelegten Anmeldeinformationen wurde in JavaScript-Umgebungen gefunden, wahrscheinlich aufgrund der Art und Weise, wie Entwickler Code bündeln. Weitere 16 % waren auf schlecht konfigurierte Ressourcen Dritter zurückzuführen, beispielsweise anfällige Plugins oder Skripte.
„Keiner dieser Entwickler wollte unsicher sein; viele von ihnen haben gar nicht erst einen Fehler gemacht. Die API-Schlüssel wurden stattdessen aufgrund von Programmierfehlern im Zusammenhang mit der Funktionsweise und Ausführung der Sprache auf dem Server veröffentlicht.“ – Katie Paxton-Fear, Manchester Metropolitan University.
Dies verdeutlicht eine systemische Schwachstelle, bei der selbst sichere Entwicklungspraktiken aufgrund zugrunde liegender Programmierfehler unbeabsichtigt zu einer Gefährdung führen können.
Reaktion und Schadensbegrenzung
Die Forscher benachrichtigten betroffene Organisationen und ungefähr die Hälfte entfernte die offengelegten Schlüssel innerhalb von zwei Wochen. Einige Unternehmen antworteten jedoch nicht und ließen die Anmeldeinformationen durchschnittlich 12 Monate lang öffentlich zugänglich – einige blieben bis zu fünf Jahre lang online.
Die Lösung des Problems erfordert einen vielschichtigen Ansatz: Entwickler müssen Umgebungen sorgfältig konfigurieren, Tool-Entwickler müssen Software entwickeln, um geheime Schlüssel standardmäßig zu verbergen, und Hosting-Plattformen sollten aktiv nach durchgesickerten Anmeldeinformationen suchen und diese deaktivieren.
Die weit verbreitete Natur dieser Schwachstelle unterstreicht einen kritischen Fehler in der modernen Softwareentwicklung. API-Schlüssel können bei falscher Konfiguration dazu führen, dass Angreifer als autorisierte Benutzer agieren, was katastrophale Folgen hat. Das Problem ist nicht nur technischer Natur; Es geht auch um Bewusstsein und gemeinsame Verantwortung im gesamten digitalen Ökosystem.
