Простая ошибка в программировании — это раскрытие ключей API на тысячах веб-сайтов.
Проанализировав 10 миллионов веб-страниц, исследователи обнаружили тысячи сайтов, случайно раскрывающих конфиденциальные учетные данные API, включая ключи, связанные с такими крупными сервисами, как Amazon Web Services, Stripe и OpenAI.
Это серьёзная проблема, поскольку API являются основой приложений, которые мы используем сегодня. Они позволяют веб-сайтам подключаться к таким сервисам, как платежи, облачное хранилище и инструменты искусственного интеллекта, но для обеспечения безопасности они полагаются на цифровые ключи. После раскрытия ключи API могут позволить любому взаимодействовать с этими сервисами со злонамеренными намерениями.
Конфиденциальные ключи API были раскрыты на тысячах сайтов.
По данным TechXplore , исследователи выявили 1748 уникальных учетных данных API почти на 10 000 веб-страницах, связанных с 14 крупными поставщиками услуг. Эти утечки не ограничивались малоизвестными сайтами, некоторые из них появились на платформах, принадлежащих глобальным банкам и крупным разработчикам программного обеспечения.
Примерно 84% этих утечек произошли из JavaScript-файлов, которые легко доступны через браузер. Это означает, что учетные данные фактически находились в общедоступном коде.
Ещё большее беспокойство вызывает то, как долго эти ключи оставались в открытом доступе. Некоторые из них были видны до 12 месяцев, а в нескольких редких случаях учетные данные оставались общедоступными в течение нескольких лет без обнаружения.
Итак, что же является причиной этих утечек?
Исследование ясно показывает, что проблема заключается не в поставщиках услуг, таких как Amazon, Stripe или OpenAI. Вместо этого, проблема кроется в том, как разработчики обрабатывают ключи API.
Во многих случаях разработчики случайно включают закрытые учетные данные API во фронтенд-код веб-сайта, делая их доступными для любого, кто знает, где искать.
Как предотвратить утечку API-ключей?
Чтобы предотвратить утечки в будущем, исследователи предлагают несколько практических шагов. Разработчикам следует сканировать работающую версию своих веб-сайтов, а не только закрытый код, чтобы обнаружить уязвимые ключи.
С развитием технологии vibecoding компаниям требуются более строгие правила для автоматизированных инструментов создания веб-сайтов, которые обрабатывают конфиденциальные данные во время развертывания. Именно поэтому такие платформы, как Lovable, начали добавлять инструменты безопасного просмотра, чтобы защитить пользователей от веб-сайтов с некачественной технологией vibecoding.
Между тем, поставщикам услуг необходимо усовершенствовать системы обнаружения, чтобы отмечать скомпрометированные ключи в момент их появления в сети. Хотя ответственное раскрытие информации помогло сократить некоторые из этих утечек, масштабы проблемы остаются значительными.
Недавние отчеты также показали , как простое посещение веб-сайта может подвергнуть ваше устройство серьезным рискам, подчеркивая, насколько хрупкой может быть веб-безопасность для обычных пользователей интернета.