Credenciais de segurança vazaram acidentalmente em milhares de sites

Credenciais críticas de segurança estão sendo expostas acidentalmente em milhares de sites, incluindo aqueles administrados por alguns bancos e prestadores de serviços de saúde.

Os detalhes vazados podem dar aos voyeurs acesso a dados confidenciais, como chaves privadas RSA, permitindo que os invasores se façam passar por servidores e descriptografem comunicações privadas ou obtenham controle administrativo total da infraestrutura digital de uma empresa. “Esta é uma questão muito importante e afecta não apenas as pequenas e médias empresas, mas também algumas empresas muito grandes”, disse ele. Nurula Demir na Universidade de Stanford, na Califórnia.

Demir e seus colegas analisaram 10 milhões de páginas da web para descobrir o número de credenciais de interface de programação de aplicativos (API) expostas. As chaves de API permitem que diferentes sistemas de software se comuniquem perfeitamente e sirvam como tokens de acesso para plataformas em nuvem, processadores de pagamento e serviços de mensagens.

Ao examinar a web, os pesquisadores identificaram 1.748 credenciais validadas e válidas de 14 grandes provedores de serviços, incluindo Amazon Web Services, Stripe, GitHub e OpenAI, espalhadas por aproximadamente 10.000 sites.

Esta vulnerabilidade não é da responsabilidade destas empresas, mas dos desenvolvedores de software e operadores de websites que utilizaram os seus serviços para construir e operar websites. Os pesquisadores não nomearam diretamente as empresas afetadas, mas disseram que incluíam “instituições financeiras globais sistemicamente importantes”, “desenvolvedores de firmware” e “principais plataformas de hospedagem”.

“Notificamos todas as empresas onde identificamos exposições”, disse DeMille. Aproximadamente 50% das organizações excluíram suas chaves de API expostas em duas semanas, mas algumas não responderam.

As credenciais vazadas permanecem acessíveis ao público por uma média de 12 meses, e algumas estão online há até cinco anos. A maioria das credenciais comprometidas (aproximadamente 84% das credenciais encontradas) foram encontradas no ambiente JavaScript, e os pesquisadores acreditam que podem ter sido o resultado de desenvolvedores de software que usaram ferramentas de empacotamento para empacotar seu código de uma forma que pudesse ser usado online.

Outros 16% das credenciais comprometidas vêm de recursos de terceiros, onde plug-ins ou scripts externos configurados incorretamente podem transmitir as chaves confidenciais de uma organização na Internet.

“Nenhum desses desenvolvedores pretendia ser inseguro, e muitos deles nunca cometeram o erro”, diz ele. Katie Paxton-Fia Na Manchester Metropolitan University, Reino Unido. As chaves de API foram tornadas públicas devido a peculiaridades de programação relacionadas à forma como a linguagem funciona e como ela é executada nos servidores. “Eles fizeram tudo certo e tudo entrou na máquina, no pipeline de desenvolvimento, e saiu”, diz ela.

O vazamento de chaves e credenciais de API é um “problema real no desenvolvimento de software moderno”, diz ele. Nick Nikiforakis Na Stony Brook University, Nova York. “As chaves de API atuam no lugar das credenciais, permitindo que qualquer pessoa com uma chave de API funcione como um usuário autorizado em um serviço específico.” O problema é que eles podem ser configurados incorretamente e acidentalmente compartilhados publicamente, com consequências potencialmente devastadoras. “Se você acidentalmente disponibilizar publicamente sua chave de API, ela poderá ser explorada por invasores que a descobrirem”, diz Nikiforakis.

DeMille diz que é uma responsabilidade coletiva resolver este problema. “Os desenvolvedores devem ter cuidado ao usar essas credenciais de API”, diz ele, certificando-se de configurar seu ambiente de desenvolvimento da maneira correta. Ele acrescentou que os criadores de ferramentas de construção de sites devem projetar seus softwares de forma que as chaves privadas sejam ocultadas automaticamente por padrão, em vez de depender dos desenvolvedores para protegê-las manualmente, e que as empresas que hospedam esses sites devem procurar proativamente por chaves comprometidas e desativá-las imediatamente.