Duizenden websites, waaronder die van grote banken en zorgaanbieders, hebben onbedoeld gevoelige beveiligingsgegevens gelekt, waardoor mogelijk ongeoorloofde toegang tot kritieke systemen wordt verleend. Uit een nieuw onderzoek blijkt dat RSA-privésleutels en andere API-gegevens maanden, zelfs jaren openbaar toegankelijk blijven, wat een aanzienlijk risico vormt voor de digitale infrastructuur.
De omvang van het probleem
Onderzoekers van Stanford University analyseerden 10 miljoen webpagina’s en identificeerden 1.748 actieve inloggegevens van 14 grote dienstverleners – waaronder Amazon Web Services, Stripe, GitHub en OpenAI – verspreid over bijna 10.000 websites. Deze inloggegevens fungeren als toegangstokens voor cloudplatforms, betalingsverwerkers en berichtendiensten, waardoor aanvallers zich kunnen voordoen als servers, communicatie kunnen ontsleutelen of administratieve controle kunnen overnemen.
Het probleem is geen directe schuld van de serviceproviders zelf, maar komt voort uit slechte beveiligingspraktijken van softwareontwikkelaars en website-exploitanten. De onderzoekers identificeerden getroffen entiteiten, waaronder een ‘mondiaal systematisch belangrijke financiële instelling’, een ‘firmware-ontwikkelaar’ en een ‘groot hostingplatform’.
Hoe inloggegevens worden gelekt
Het merendeel (84%) van de blootgestelde inloggegevens werd gevonden in JavaScript-omgevingen, waarschijnlijk vanwege de manier waarop ontwikkelaars code bundelen. Nog eens 16% was afkomstig van slecht geconfigureerde bronnen van derden, zoals kwetsbare plug-ins of scripts.
“Geen van deze ontwikkelaars had de bedoeling om onveilig te zijn; velen van hen hebben überhaupt niet eens een fout gemaakt. De API-sleutels zijn in plaats daarvan openbaar gemaakt vanwege programmeerfouten die verband houden met de manier waarop de taal werkt en draait op de server.” – Katie Paxton-Fear, Manchester Metropolitan Universiteit.
Dit benadrukt een systemische kwetsbaarheid waarbij zelfs veilige ontwikkelingspraktijken onbedoeld kunnen leiden tot blootstelling als gevolg van onderliggende programmeerfouten.
Reactie en mitigatie
Onderzoekers brachten de getroffen organisaties op de hoogte en ongeveer de helft verwijderde de blootgestelde sleutels binnen twee weken. Sommige entiteiten reageerden echter niet, waardoor de inloggegevens gemiddeld twaalf maanden openbaar toegankelijk bleven, terwijl sommige tot wel vijf jaar online bleven.
Om dit probleem aan te pakken is een veelzijdige aanpak nodig: ontwikkelaars moeten omgevingen zorgvuldig configureren, makers van tools moeten software ontwerpen om standaard geheime sleutels te verbergen, en hostingplatforms moeten actief zoeken naar gelekte inloggegevens en deze deactiveren.
De wijdverbreide aard van dit beveiligingslek onderstreept een kritieke fout in de moderne softwareontwikkeling. Wanneer API-sleutels verkeerd zijn geconfigureerd, kunnen aanvallers zich als geautoriseerde gebruikers gedragen, met catastrofale gevolgen. Het probleem is niet alleen technisch; het gaat ook om bewustzijn en gedeelde verantwoordelijkheid in het hele digitale ecosysteem.
