Un semplice errore di codifica sta esponendo le chiavi API su migliaia di siti web.

Un semplice errore di codifica sta esponendo le chiavi API su migliaia di siti web.

      Dopo aver analizzato 10 milioni di pagine web, i ricercatori hanno trovato migliaia di siti web che espongono accidentalmente credenziali API sensibili, comprese chiavi collegate a servizi importanti come Amazon Web Services, Stripe e OpenAI.

      Questo è un problema serio perché le API fungono da spina dorsale delle app che utilizziamo oggi. Consentono ai siti web di connettersi a servizi come pagamenti, archiviazione cloud e strumenti di intelligenza artificiale, ma si basano su chiavi digitali per rimanere sicure. Una volta esposte, le chiavi API possono consentire a chiunque di interagire con quei servizi con intenti malevoli.

      Chiavi API sensibili esposte su migliaia di siti

      Secondo TechXplore, i ricercatori hanno identificato 1.748 credenziali API uniche su quasi 10.000 pagine web, legate a 14 fornitori di servizi principali. Queste perdite non erano limitate a siti oscuri, con alcune che apparivano su piattaforme gestite da banche globali e importanti sviluppatori di software.

      Circa l'84% di queste perdite proveniva da file JavaScript, che sono facilmente accessibili tramite un browser. Ciò significa che le credenziali erano effettivamente presenti in codice visibile pubblicamente.

      Ancora più preoccupante è quanto a lungo queste chiavi siano rimaste esposte. Alcune erano visibili per un massimo di 12 mesi, mentre alcuni rari casi mostrano credenziali rimaste pubbliche per diversi anni senza essere rilevate.

      Quindi, cosa sta causando queste perdite?

      Pixabay

      Lo studio chiarisce che il problema non risiede nei fornitori di servizi come Amazon, Stripe o OpenAI. Invece, il problema deriva da come gli sviluppatori gestiscono le chiavi API.

      In molti casi, gli sviluppatori includono accidentalmente credenziali API private nel codice front-end di un sito web, lasciandolo visibile a chiunque sappia dove cercare.

      Come fermare l'esposizione delle chiavi API?

      Per prevenire future perdite, i ricercatori suggeriscono alcuni passi pratici. Gli sviluppatori dovrebbero scansionare la versione live dei loro siti web, e non solo il codice privato, per catturare le chiavi esposte.

      Adobe / Adobe

      Con l'aumento del vibecoding, le aziende hanno bisogno di regole più severe per gli strumenti automatizzati di creazione di siti web che gestiscono dati sensibili durante il deployment. Questo è anche il motivo per cui piattaforme come Lovable hanno iniziato ad aggiungere strumenti di navigazione sicura per proteggere gli utenti da siti web mal vibecodificati.

      Nel frattempo, i fornitori di servizi devono migliorare i sistemi di rilevamento per segnalare le chiavi esposte nel momento in cui appaiono online. Sebbene la divulgazione responsabile abbia contribuito a ridurre alcune di queste perdite, la portata del problema rimane significativa.

      Rapporti recenti hanno anche mostrato come semplicemente visitare un sito web possa esporre il tuo dispositivo a seri rischi, evidenziando quanto possa essere fragile la sicurezza web per gli utenti internet quotidiani.

Un semplice errore di codifica sta esponendo le chiavi API su migliaia di siti web. Un semplice errore di codifica sta esponendo le chiavi API su migliaia di siti web.

Altri articoli

tozero lancia il primo impianto di riciclo di batterie industriali in Europa tozero lancia il primo impianto di riciclo di batterie industriali in Europa tozero ha lanciato il primo impianto di riciclo di batterie industriali in Europa in Baviera, producendo litio e grafite riciclati su larga scala per la prima volta. iOS 26.4 aggiunge ChatGPT allo schermo dell'infotainment della tua auto iOS 26.4 aggiunge ChatGPT allo schermo dell'infotainment della tua auto L'ultimo aggiornamento dell'iPhone di Apple offre silenziosamente il miglioramento più entusiasmante di CarPlay degli ultimi tempi, aprendo la porta a conversazioni AI senza mani, playlist ambientali curate e una funzione video tanto attesa che è quasi pronta. tozero lancia il primo impianto di riciclo di batterie industriali in Europa tozero lancia il primo impianto di riciclo di batterie industriali in Europa tozero ha lanciato il primo impianto di riciclaggio di batterie industriali in Europa in Baviera, producendo litio e grafite riciclati su scala per la prima volta. tozero lancia il primo impianto di riciclaggio di batterie industriali in Europa tozero lancia il primo impianto di riciclaggio di batterie industriali in Europa tozero ha lanciato il primo impianto di riciclaggio di batterie industriali in Europa in Baviera, producendo litio e grafite riciclati su larga scala per la prima volta. Le app di incontri si stanno evolvendo oltre lo swipe verso agenti AI Le app di incontri si stanno evolvendo oltre lo swipe verso agenti AI Le app di incontri online sono state a lungo dominate dal "swipe", ma man mano che il panorama digitale evolve, le persone chiedono di più dalle piattaforme di incontri. Gli individui non sono più soddisfatti di limitarsi a scorrere e fare swipe su potenziali partner. L'azione è sempre più vista come ripetitiva e gamificata, e non sembra avere significato per gli utenti. A causa delle basse poste in gioco, alcuni [...] Gli utenti iPhone possono finalmente ottenere la traduzione in tempo reale sulle loro cuffie tramite Google Translate. Gli utenti iPhone possono finalmente ottenere la traduzione in tempo reale sulle loro cuffie tramite Google Translate. Google sta portando la sua funzione di traduzione in tempo reale su iOS, trasformando le tue cuffie in un traduttore in tempo reale che ti aiuta a seguire le conversazioni in modo naturale senza dover controllare continuamente lo schermo.

Un semplice errore di codifica sta esponendo le chiavi API su migliaia di siti web.

Uno studio su larga scala ha rivelato che i siti web stanno esponendo involontariamente le chiavi API legate a servizi come AWS, Stripe e OpenAI, con la maggior parte delle perdite rintracciabili a file JavaScript accessibili pubblicamente.