Учетные данные безопасности были случайно скомпрометированы на тысячах веб-сайтов.

Исследователи выявили почти 10 000 веб-сайтов, где можно было найти ключи API, что позволило злоумышленникам получить доступ к конфиденциальной информации.

Критически важные учетные данные безопасности непреднамеренно оказываются под угрозой на тысячах веб-сайтов, в том числе на сайтах некоторых банков и медицинских учреждений.

Утечка информации могла предоставить злоумышленникам доступ к конфиденциальным данным, таким как закрытые ключи RSA, которые позволяют злоумышленникам выдавать себя за серверы, расшифровывать конфиденциальную переписку или получать полный административный контроль над цифровой инфраструктурой компании. «Это очень серьезная проблема, и она затрагивает не только небольшие компании, но и некоторые очень крупные предприятия», — говорит Нурулла Демир из Стэнфордского университета в Калифорнии.

Демир и его коллеги проанализировали 10 миллионов веб-страниц, чтобы выявить, сколько из них содержат утечки учетных данных API. Ключи API позволяют различным программным системам беспрепятственно взаимодействовать, выступая в качестве токенов доступа для облачных платформ, платежных систем и служб обмена сообщениями.

Проведя сканирование сети, исследователи выявили 1748 подтвержденных, действующих учетных данных от 14 крупных поставщиков услуг, включая Amazon Web Services, Stripe, GitHub и OpenAI, которые были обнаружены почти на 10 000 веб-сайтах.

Уязвимость возникла не по вине этих компаний, а по вине разработчиков программного обеспечения и операторов веб-сайтов, которые использовали их услуги для создания и запуска веб-сайтов. Хотя исследователи не назвали напрямую пострадавшие компании, они сообщили, что в их число входят «глобальное, системно значимое финансовое учреждение», «разработчик микропрограммного обеспечения» и «крупная хостинговая платформа».

Источник: www.newscientist.com