Простая ошибка в коде приводит к раскрытию ключей API на тысячах веб-сайтов.

Простая ошибка в коде приводит к раскрытию ключей API на тысячах веб-сайтов.

      После анализа 10 миллионов веб-страниц исследователи обнаружили тысячи сайтов, случайно раскрывающих конфиденциальные учетные данные API, включая ключи, связанные с крупными сервисами, такими как Amazon Web Services, Stripe и OpenAI.

      Это серьезная проблема, потому что API являются основой приложений, которые мы используем сегодня. Они позволяют веб-сайтам подключаться к таким сервисам, как платежи, облачное хранилище и инструменты ИИ, но для обеспечения безопасности они полагаются на цифровые ключи. После раскрытия ключи API могут позволить любому взаимодействовать с этими сервисами с злонамеренными намерениями.

      Конфиденциальные ключи API, раскрытые на тысячах сайтов

      Согласно TechXplore, исследователи идентифицировали 1,748 уникальных учетных данных API на почти 10,000 веб-страницах, связанных с 14 крупными поставщиками услуг. Эти утечки не ограничивались неясными сайтами, некоторые из них появились на платформах, управляемых глобальными банками и крупными разработчиками программного обеспечения.

      Около 84% этих утечек произошло из файлов JavaScript, которые легко доступны через браузер. Это означает, что учетные данные фактически находились в общедоступном коде.

      Еще более тревожно, как долго эти ключи оставались открытыми. Некоторые были видны до 12 месяцев, в то время как в нескольких редких случаях учетные данные оставались публичными в течение нескольких лет без обнаружения.

      Так что же вызывает эти утечки?

      Pixabay

      Исследование ясно показывает, что проблема не в поставщиках услуг, таких как Amazon, Stripe или OpenAI. Вместо этого проблема заключается в том, как разработчики обрабатывают ключи API.

      Во многих случаях разработчики случайно включают частные учетные данные API в код фронтенда веб-сайта, оставляя их видимыми для любого, кто знает, где искать.

      Как предотвратить раскрытие ключей API?

      Чтобы предотвратить будущие утечки, исследователи предлагают несколько практических шагов. Разработчики должны сканировать живую версию своих веб-сайтов, а не только частный код, чтобы поймать раскрытые ключи.

      Adobe / Adobe

      С ростом вибекодирования компаниям нужны более строгие правила для автоматизированных инструментов создания веб-сайтов, которые обрабатывают конфиденциальные данные во время развертывания. Именно поэтому платформы, такие как Lovable, начали добавлять инструменты безопасного просмотра, чтобы защитить пользователей от плохо вибекодированных веб-сайтов.

      Тем временем поставщики услуг должны улучшить системы обнаружения, чтобы помечать раскрытые ключи в момент их появления в сети. Хотя ответственное раскрытие помогло сократить некоторые из этих утечек, масштаб проблемы остается значительным.

      Недавние отчеты также показали, как простое посещение веб-сайта может подвергнуть ваше устройство серьезным рискам, подчеркивая, насколько хрупкой может быть безопасность в Интернете для обычных пользователей.

Простая ошибка в коде приводит к раскрытию ключей API на тысячах веб-сайтов. Простая ошибка в коде приводит к раскрытию ключей API на тысячах веб-сайтов.

Другие статьи

Приложения для знакомств эволюционируют за пределы свайпа к ИИ-агентам Приложения для знакомств эволюционируют за пределы свайпа к ИИ-агентам Онлайн-сайты знакомств долгое время были под властью «свайпа», но по мере того как цифровая среда развивается, люди требуют большего от платформ для знакомств. Индивиды больше не довольствуются просто пролистыванием и свайпами по потенциальным партнерам. Это действие все чаще воспринимается как повторяющееся и игрофицированное, и не кажется значимым для пользователей. Из-за низких ставок некоторые […] Пользователи iPhone наконец-то могут получить живой перевод на своих наушниках через Google Translate. Пользователи iPhone наконец-то могут получить живой перевод на своих наушниках через Google Translate. Google приносит свою функцию живого перевода на iOS, превращая ваши наушники в переводчик в реальном времени, который помогает вам естественно следить за разговорами, не проверяя постоянно экран. tozero запускает первый в Европе завод по переработке промышленных батарей tozero запускает первый в Европе завод по переработке промышленных батарей tozero запустила первый в Европе завод по переработке промышленных батарей в Баварии, производя переработанный литий и графит в больших объемах впервые. tozero запускает первый в Европе завод по переработке промышленных батарей tozero запускает первый в Европе завод по переработке промышленных батарей tozero запустила первый в Европе завод по переработке промышленных батарей в Баварии, производя переработанный литий и графит в больших объемах впервые. iOS 26.4 добавляет ChatGPT на экран информационно-развлекательной системы вашего автомобиля iOS 26.4 добавляет ChatGPT на экран информационно-развлекательной системы вашего автомобиля Последнее обновление iPhone от Apple тихо приносит самое захватывающее обновление CarPlay за последнее время, открывая дверь для разговоров с ИИ без рук, курируемых атмосферных плейлистов и давно обещанной функции видео, которая почти готова. tozero запускает первый в Европе завод по переработке промышленных батарей tozero запускает первый в Европе завод по переработке промышленных батарей tozero запустила первый в Европе завод по переработке промышленных батарей в Баварии, впервые производя переработанный литий и графит в больших объемах.

Простая ошибка в коде приводит к раскрытию ключей API на тысячах веб-сайтов.

Масштабное исследование показало, что веб-сайты непреднамеренно раскрывают ключи API, связанные с такими сервисами, как AWS, Stripe и OpenAI, при этом большинство утечек связано с общедоступными файлами JavaScript.