Depois de dividir 10 milhões de páginas da web, os pesquisadores descobriram milhares de páginas expondo acidentalmente documentos confidenciais de API, incluindo chaves para serviços importantes como Web Services, Stripe e OpenAI.
Esta é uma questão importante porque as APIs atuam como a espinha dorsal dos aplicativos que usamos hoje. Eles permitem que os sites se conectem a serviços como pagamentos, armazenamento em nuvem, ferramentas e ferramentas de IA, mas dependem de chaves digitais para permanecerem seguros. Uma vez expostas, as chaves de API podem permitir que alguém interaja com esses serviços com intenções maliciosas.
Abra chaves de API confidenciais em milhares de sites
Segundo TechXploreOs pesquisadores identificaram 1.748 documentos API exclusivos em quase 10.000 páginas da web, vinculados a 14 grandes provedores de serviços. Esses sites gratuitos e irrestritos eram obscuros, aparecendo em plataformas administradas por bancos globais e grandes desenvolvedores de software.
Cerca de 84% desses downloads vieram de arquivos JavaScript, que são facilmente acessados por meio de um navegador. Desta forma, os documentos estavam efetivamente armazenados em código publicamente visível.
Muito mais deve ser dito sobre quanto tempo essas chaves permaneceram expostas. Alguns foram vistos durante até doze meses, enquanto alguns casos raros mostraram documentos que permaneceram abertos durante vários anos sem serem detectados.
Então, por que isso está vazando?
A pesquisa revela que o problema não está em fornecedores como Amazon, Stripe ou OpenAI. Mas há um problema com a forma como os desenvolvedores lidam com as chaves de API.
Em muitos casos, os desenvolvedores incluem casos de API privados no código front-end de uma página da web, que fica visível para qualquer pessoa que saiba onde procurar.
Como evitar que as chaves de API sejam exibidas?
Para evitar vazamentos futuros, os pesquisadores sugerem algumas medidas práticas. Os desenvolvedores devem verificar a versão ativa de seu site, e não apenas o código privado, as chaves expostas.
Com o surgimento do vibecoding, as empresas precisam de diretrizes mais rígidas para a construção de ferramentas automatizadas que lidam com dados confidenciais durante a implantação. É também por isso que plataformas como o Lovely começaram a adicionar ferramentas de navegação segura para proteger os usuários de sites mal codificados.
Entretanto, os prestadores de serviços precisam de melhorar o seu sistema de deteção para que as chaves expostas apareçam online em tempo real. Embora a divulgação responsável esteja a ajudar a reduzir algumas destas repercussões, a escala do problema continua a ser significativa.
Relatórios recentes também mostraram como o simples acesso a um website pode expor o seu negócio a sérios riscos, ao ponto de a segurança na Internet poder ser frágil para os utilizadores comuns da Internet.
