Depositphotos
Дослідники зі Стенфордського університету виявили масштабний виток даних з сайтів, який може призвести до оприлюднення конфіденційної інформації та фінансових звітів мільйонів людей.
Нурулла Демір та її колеги зі Стенфорду проаналізували 10 млн сайтів з метою з’ясувати розкриття облікових даних API. Ці цифрові ключі або токени забезпечують взаємодію між різними застосунками та зазвичай використовуються для обробки банківських платежів та доступу до хмарних серверів.
Дослідники використали базу даних HTTP Archive, яка відстежує роботу мільйонів сайтів. Вони відстежували роботу сайтів та прагнули зрозуміти, як обробляються дані під час завантаження сторінок. За результатами аналізу активності сайтів було виявлено облікові дані API, які з’являються лише внаслідок відвідування користувачами того чи іншого вебресурсу. Ці облікові дані являють певні текстові рядки, які вебсайт використовує для того, аби ідентифікувати себе під час взаємодії з банківськими сервісами або хмарними провайдерами.
Дослідники виявили 1748 активних підтверджених облікових даних від великих постачальників послуг, зокрема, Amazon, Stripe та OpenAI. Ці обліковані дані знаходились у відкритому доступі у робочому коді вебсайтів. Будь-хто, хто зможе отримати відповідні ключі, може отримати доступ до хмарних серверів компаній, банківських рахунків та баз даних клієнтів.
Дослідження також продемонструвало, що деякі з цих облікових даних залишались у відкритому доступі протягом року. У деяких рідкісних випадках конфіденційні ключі залишались загальнодоступними впродовж кількох років. Більшість витоків були виявлені у файлах JavaScript — фонових інструкціях, які керують роботою сайтів.
Автори дослідження зазначають, що це не провина Amazon або Stripe, оскільки саме розробники ПЗ та оператори сайтів помилково включають ці конфіденційні облікові дані у остаточну версію сайту, яка обробляється браузерами користувачів.
“Наші результати демонструють, що переважна більшість витоків відбувається під час компіляції та виявляється виключно в реальних виробничих середовищах (наприклад, усередині JavaScript-пакетів), що робить методи статичного сканування, використані в попередніх роботах, принципово недостатніми для вебсередовища”, — підкреслюють дослідники.
Вони зв’язались з організаціями та попередили їх про ризик витоків. Упродовж наступних двох тижнів 50% скомпрометованих облікових даних були видалені або деактивовані. Надалі дослідники пропонують кілька ефективних методів для запобігання витокам. Мова йде про сканування розробниками робочих версій сайтів та встановлення компаніями жорстких правил для автоматизованих інструментів створення сайтів.
Вони також рекомендують постачальникам послуг вдосконалити свої автоматизовані системи, щоб ті повідомляли клієнтів у разі виявлення секретного ключа на загальнодоступній вебсторінці.
Раніше ми писали, що проста вразливість допомогає шкідливому ПЗ обходити більшість антивірусів. Минулого року хакери заразили тисячі роутерів TP-Link ботнетом Ballista.
Результати дослідження опубліковані на сервері препринтів arXiv
Джерело: TechXplore
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.