Тисячі веб-сайтів, включаючи великі банки та медичні установи, ненавмисно оголили конфіденційні облікові дані безпеки, потенційно надаючи несанкціонований доступ до критично важливих систем. Нове дослідження показує, що приватні ключі RSA та інші ключі API залишаються загальнодоступними протягом місяців, а іноді й років, що становить значний ризик для цифрової інфраструктури.
Масштаб Проблеми
Дослідники зі Стенфордського університету проаналізували 10 мільйонів веб-сторінок і виявили 1748 активних облікових даних від 14 великих постачальників послуг – включаючи Amazon Web Services, Stripe, GitHub та OpenAI – розкиданих майже по 10 000 веб-сайтів. Ці облікові дані служать токенами доступу до хмарних платформ, платіжних систем та служб обміну повідомленнями, дозволяючи зловмисникам видавати себе за сервери, розшифровувати комунікації або захоплювати адміністративний контроль.
Проблема полягає не в прямій провині постачальників послуг, а в поганих практиках безпеки з боку розробників програмного забезпечення та операторів веб-сайтів. Дослідники визначили порушені організації, включаючи “глобально системно важливу фінансову установу”, “розробника прошивки” та “велику хостингову платформу”.
Як Відбувається Витік Облікових Даних
Переважна більшість (84%) розкритих облікових даних була знайдена в JavaScript-оточеннях, ймовірно, через те, як розробники упаковують код. Інші 16% виходять із неправильно налаштованих сторонніх ресурсів, таких як уразливі плагіни чи сценарії.
“Жоден з цих розробників не збирався бути небезпечним; багато хто з них взагалі не припустився помилок. API-ключі були оприлюднені через особливості програмування, пов’язані з тим, як мова працює і запускається на сервері.” – Кеті Пекстон Фір, Манчестерський метрополітенський університет.
Це підкреслює системну вразливість, за якої навіть безпечні методи розробки можуть ненавмисно призвести до розкриття через особливості програмування, що лежать в основі.
Реакція та Пом’якшення Наслідків
Дослідники повідомили торкнуті організації, і приблизно половина видалила розкриті ключі протягом двох тижнів. Однак деякі організації не відреагували, залишивши облікові дані загальнодоступними протягом середнього 12 місяців — деякі залишалися в мережі до п’яти років.
Вирішення проблеми вимагає багатостороннього підходу: розробники повинні ретельно налаштовувати середовища, творці інструментів повинні проектувати програмне забезпечення, щоб приховувати секретні ключі за умовчанням, а хостингові платформи повинні активно сканувати та деактивувати розкриті облікові дані.
Широкий масштаб цієї вразливості підкреслює критичний недолік у сучасній розробці програмного забезпечення. API-ключі, за неправильного настроювання, можуть дозволити зловмисникам діяти як авторизовані користувачі з катастрофічними наслідками. Проблема як технічна; вона також пов’язана з обізнаністю та загальною відповідальністю у всій цифровій екосистемі.
