Milhares de sites, incluindo aqueles pertencentes a grandes bancos e prestadores de serviços de saúde, vazaram inadvertidamente credenciais de segurança confidenciais, potencialmente concedendo acesso não autorizado a sistemas críticos. Um novo estudo revela que as chaves privadas RSA e outras credenciais de API permanecem acessíveis ao público por meses, até anos, representando um risco significativo para a infraestrutura digital.
O escopo do problema
Pesquisadores da Universidade de Stanford analisaram 10 milhões de páginas da web e identificaram 1.748 credenciais ativas de 14 grandes provedores de serviços – incluindo Amazon Web Services, Stripe, GitHub e OpenAI – espalhadas por quase 10.000 sites. Essas credenciais atuam como tokens de acesso para plataformas em nuvem, processadores de pagamento e serviços de mensagens, permitindo que invasores se façam passar por servidores, descriptografem comunicações ou tomem controle administrativo.
O problema não é culpa direta dos próprios provedores de serviços, mas decorre de más práticas de segurança por parte de desenvolvedores de software e operadores de sites. Os pesquisadores identificaram entidades afetadas, incluindo uma “instituição financeira global sistematicamente importante”, um “desenvolvedor de firmware” e uma “grande plataforma de hospedagem”.
Como as credenciais são vazadas
A maioria (84%) das credenciais expostas foi encontrada em ambientes JavaScript, provavelmente devido à forma como os desenvolvedores agrupam o código. Outros 16% originaram-se de recursos de terceiros mal configurados, como plug-ins ou scripts vulneráveis.
“Nenhum desses desenvolvedores pretendia ser inseguro; muitos deles nem sequer cometeram um erro em primeiro lugar. As chaves da API foram tornadas públicas por causa de peculiaridades de programação associadas à forma como a linguagem funciona e é executada no servidor.” – Katie Paxton-Fear, Universidade Metropolitana de Manchester.
Isto realça uma vulnerabilidade sistémica onde mesmo práticas de desenvolvimento seguras podem inadvertidamente levar à exposição devido a peculiaridades de programação subjacentes.
Resposta e Mitigação
Os pesquisadores notificaram as organizações afetadas e quase metade removeu as chaves expostas em duas semanas. No entanto, algumas entidades não responderam, deixando as credenciais acessíveis ao público durante uma média de 12 meses – com algumas permanecendo online até cinco anos.
Lidar com o problema requer uma abordagem multifacetada: os desenvolvedores devem configurar os ambientes com cuidado, os criadores de ferramentas devem projetar software para ocultar chaves secretas por padrão e as plataformas de hospedagem devem procurar e desativar ativamente credenciais vazadas.
A natureza generalizada desta vulnerabilidade destaca uma falha crítica no desenvolvimento de software moderno. As chaves de API, quando configuradas incorretamente, podem permitir que invasores atuem como usuários autorizados, com consequências catastróficas. O problema não é apenas técnico; trata-se também de conscientização e responsabilidade compartilhada em todo o ecossistema digital.
