Migliaia di siti Web, compresi quelli appartenenti alle principali banche e operatori sanitari, hanno inavvertitamente diffuso credenziali di sicurezza sensibili, consentendo potenzialmente l’accesso non autorizzato a sistemi critici. Un nuovo studio rivela che le chiavi private RSA e altre credenziali API rimangono accessibili al pubblico per mesi, persino anni, ponendo un rischio significativo per l’infrastruttura digitale.
La portata del problema
I ricercatori della Stanford University hanno analizzato 10 milioni di pagine web e identificato 1.748 credenziali attive di 14 principali fornitori di servizi – tra cui Amazon Web Services, Stripe, GitHub e OpenAI – sparse su quasi 10.000 siti web. Queste credenziali fungono da token di accesso per piattaforme cloud, processori di pagamento e servizi di messaggistica, consentendo agli aggressori di impersonare server, decrittografare comunicazioni o assumere il controllo amministrativo.
Il problema non è una colpa diretta degli stessi fornitori di servizi, ma deriva da inadeguate pratiche di sicurezza da parte degli sviluppatori di software e degli operatori di siti web. I ricercatori hanno identificato le entità interessate tra cui un “istituto finanziario di importanza sistematica globale”, uno “sviluppatore di firmware” e una “importante piattaforma di hosting”.
Come vengono divulgate le credenziali
La maggior parte (84%) delle credenziali esposte è stata trovata all’interno di ambienti JavaScript, probabilmente a causa del modo in cui gli sviluppatori raggruppano il codice. Un altro 16% proveniva da risorse di terze parti mal configurate, come plug-in o script vulnerabili.
“Nessuno di questi sviluppatori intendeva essere insicuro; molti di loro non hanno nemmeno commesso un errore in primo luogo. Le chiavi API sono state invece rese pubbliche a causa di stranezze di programmazione associate al modo in cui il linguaggio funziona e viene eseguito sul server.” – Katie Paxton-Fear, Manchester Metropolitan University.
Ciò evidenzia una vulnerabilità sistemica in cui anche le pratiche di sviluppo sicure possono inavvertitamente portare all’esposizione a causa di stranezze di programmazione sottostanti.
Risposta e mitigazione
I ricercatori hanno informato le organizzazioni interessate e circa la metà ha rimosso le chiavi esposte entro due settimane. Tuttavia, alcune entità non hanno risposto, lasciando le credenziali accessibili al pubblico per una media di 12 mesi, mentre alcune sono rimaste online fino a cinque anni.
Affrontare il problema richiede un approccio articolato: gli sviluppatori devono configurare attentamente gli ambienti, i creatori di strumenti devono progettare software per nascondere le chiavi segrete per impostazione predefinita e le piattaforme di hosting dovrebbero cercare e disattivare attivamente le credenziali trapelate.
La natura diffusa di questa vulnerabilità sottolinea un difetto critico nello sviluppo del software moderno. Le chiavi API, se configurate in modo errato, possono consentire agli aggressori di agire come utenti autorizzati con conseguenze catastrofiche. Il problema non è solo tecnico; riguarda anche la consapevolezza e la responsabilità condivisa nell’intero ecosistema digitale.
