Дослідники виявили серйозну проблему безпеки — тисячі вебсайтів передають конфіденційні дані користувачів через помилки у коді, йдеться у матеріалі TechXplore, пише Kreschatic.
Як виникла проблема витоку
Під час масштабного аналізу понад 10 мільйонів сайтів фахівці виявили відкриті ключі доступу до API — спеціальні токени, які використовуються для взаємодії між сервісами.
Йдеться про доступи до:
- хмарних серверів
- платіжних систем
- баз даних клієнтів
Ці ключі опинилися у відкритому коді сторінок, що дозволяє будь-кому отримати доступ до чутливої інформації.
Які компанії опинилися під загрозою
Серед знайдених витоків — понад 1700 активних ключів від великих сервісів. Зокрема:
- Amazon
- Stripe
- OpenAI
Небезпека полягає в тому, що такі ключі можуть використовуватися для доступу до фінансових операцій і внутрішніх систем компаній.
Чому це стало можливим
Причина витоків — не у сервісах, а у розробниках сайтів. Саме вони випадково залишають конфіденційні дані у фінальній версії коду.
Найчастіше проблема виникає:
- під час компіляції сайтів
- у JavaScript-файлах
- через відсутність перевірок перед запуском
Дослідження показало, що стандартні методи перевірки не завжди виявляють такі ризики.
Наскільки довго дані залишаються відкритими
У деяких випадках ключі залишалися доступними:
- кілька місяців
- понад рік
- інколи навіть роками
Це значно підвищує ризики несанкціонованого доступу.
Як можна запобігти витокам
Фахівці пропонують кілька рішень:
- перевірка коду перед публікацією
- автоматичне сканування сайтів
- впровадження політик безпеки
- повідомлення про знайдені ключі
Після попередження компаній частину ключів вже було деактивовано або видалено протягом двох тижнів.
Нагадаємо, раніше ми писали про тестування обмежень соціальних мереж для підлітків та нові правила безпеки у цифровому середовищі дітей.
