Тысячи веб-сайтов, включая принадлежащие крупным банкам и медицинским учреждениям, непреднамеренно обнажили конфиденциальные учетные данные безопасности, потенциально предоставляя несанкционированный доступ к критически важным системам. Новое исследование показывает, что приватные ключи RSA и другие API-ключи остаются общедоступными в течение месяцев, а иногда и лет, что представляет значительный риск для цифровой инфраструктуры.
Масштаб Проблемы
Исследователи из Стэнфордского университета проанализировали 10 миллионов веб-страниц и выявили 1748 активных учетных данных от 14 крупных поставщиков услуг — включая Amazon Web Services, Stripe, GitHub и OpenAI — разбросанных почти по 10 000 веб-сайтам. Эти учетные данные служат токенами доступа к облачным платформам, платежным системам и службам обмена сообщениями, позволяя злоумышленникам выдавать себя за серверы, расшифровывать коммуникации или захватывать административный контроль.
Проблема заключается не в прямой вине поставщиков услуг, а в плохих практиках безопасности со стороны разработчиков программного обеспечения и операторов веб-сайтов. Исследователи определили затронутые организации, включая «глобально системно важное финансовое учреждение», «разработчика прошивки» и «крупную хостинговую платформу».
Как Происходит Утечка Учетных Данных
Подавляющее большинство (84%) раскрытых учетных данных было найдено в JavaScript-окружениях, вероятно, из-за того, как разработчики упаковывают код. Остальные 16% исходят из неправильно настроенных сторонних ресурсов, таких как уязвимые плагины или сценарии.
«Ни один из этих разработчиков не собирался быть небезопасным; многие из них вообще не совершили ошибки. API-ключи были обнародованы из-за особенностей программирования, связанных с тем, как язык работает и запускается на сервере.» – Кэти Пэкстон-Фир, Манчестерский метрополитенский университет.
Это подчеркивает системную уязвимость, при которой даже безопасные методы разработки могут непреднамеренно привести к раскрытию из-за лежащих в основе особенностей программирования.
Реакция и Смягчение Последствий
Исследователи уведомили затронутые организации, и примерно половина удалила раскрытые ключи в течение двух недель. Однако некоторые организации не отреагировали, оставив учетные данные общедоступными в течение в среднем 12 месяцев — некоторые оставались в сети до пяти лет.
Решение проблемы требует многостороннего подхода: разработчики должны тщательно настраивать среды, создатели инструментов должны проектировать программное обеспечение, чтобы скрывать секретные ключи по умолчанию, а хостинговые платформы должны активно сканировать и деактивировать раскрытые учетные данные.
Широкий масштаб этой уязвимости подчеркивает критический недостаток в современной разработке программного обеспечения. API-ключи, при неправильной настройке, могут позволить злоумышленникам действовать как авторизованные пользователи с катастрофическими последствиями. Проблема не только техническая; она также связана с осведомленностью и общей ответственностью во всей цифровой экосистеме.
