Масштабний витік даних: Тисячі сайтів компрометують конфіденційну інформацію
Аналіз від Стенфорду виявив вразливості в API-ключах
Нове дослідження, проведене фахівцями зі Стенфордського університету, викриває тривожну тенденцію: значна кількість вебсайтів ненавмисно розкриває критично важливі облікові дані (API-ключі), що потенційно ставить під загрозу мільйони користувачів та їхню фінансову інформацію. Команда під керівництвом Нурулли Демір проаналізувала близько 10 мільйонів вебсайтів, зосередившись на витоках так званих “цифрових ключів” або токенів. Ці ключі є основою для безпечної взаємодії між різними програмними застосунками, зокрема, при здійсненні банківських операцій чи отриманні доступу до хмарних сервісів.
Методологія дослідження та виявлені вразливості
Для виявлення проблеми дослідники скористалися базою даних HTTP Archive, яка систематично відстежує роботу мільйонів вебсайтів. Аналізуючи процеси завантаження сторінок, команда зосередилася на виявленні API-ключів, які з’являлися в результаті взаємодії користувача з ресурсом. Ці ключі, що є певними текстовими послідовностями, слугують для ідентифікації сайту під час комунікації з фінансовими установами чи хмарними провайдерами. У ході дослідження було виявлено 1748 активних, підтверджених API-облікових даних від провідних постачальників, таких як Amazon, Stripe та OpenAI. Найбільш критичним є те, що ці дані були доступні у відкритому коді вебсайтів. Це означає, що будь-хто, хто отримає доступ до цих ключів, потенційно може отримати повний контроль над хмарними серверами компаній, банківськими рахунками та базами даних клієнтів.
Тривалість витоків та відповідальність
Аналіз показав, що деякі з виявлених облікових даних залишалися незахищеними протягом року, а в окремих випадках – навіть кількох років. Переважна більшість таких витоків була виявлена у файлах JavaScript, які відповідають за функціональність вебсайтів на стороні клієнта (у браузері користувача). Автори дослідження наголошують, що проблема полягає не в самих сервісах Amazon чи Stripe, а в помилках розробників програмного забезпечення та адміністраторів вебсайтів. Саме вони ненавмисно включають ці чутливі дані в код, який потім обробляється браузерами користувачів, роблячи їх доступними для зловмисників.
Думка UA Новини: Це дослідження висвітлює критичну прогалину в безпеці сучасного інтернету, яка виникає не через складні кібератаки, а через базові помилки розробки. Необережне поводження з API-ключами з боку розробників може мати руйнівні наслідки для користувачів та бізнесу, підкреслюючи необхідність посилення стандартів безпеки в процесі створення програмного забезпечення.
За матеріалами: itc.ua