Le credenziali di sicurezza sono trapelate inavvertitamente su migliaia di siti web

Credenziali di sicurezza critiche vengono inavvertitamente esposte su migliaia di siti Web, compresi quelli gestiti da alcune banche e operatori sanitari.

I dettagli trapelati potrebbero consentire alle spie di accedere a dati sensibili come le chiavi private RSA, consentendo agli aggressori di impersonare server, decrittografare comunicazioni private o ottenere il pieno controllo amministrativo dell’infrastruttura digitale di un’azienda. “Si tratta di una questione molto importante e non riguarda solo le piccole imprese, ma anche alcune aziende molto grandi”, afferma Nurullah Demir All’Università di Stanford in California.

Demir e i suoi colleghi hanno analizzato 10 milioni di pagine web per scoprire quante credenziali API (Application Programming Interface) sono trapelate. Le chiavi API consentono a diversi sistemi software di comunicare senza problemi, fungendo da token di accesso a piattaforme cloud, processori di pagamento e servizi di messaggistica.

Eseguendo la scansione del web, i ricercatori hanno identificato 1748 credenziali attive verificate di 14 principali fornitori di servizi – tra cui Amazon Web Services, Stripe, GitHub e OpenAI – distribuite su quasi 10.000 siti web.

Questa vulnerabilità non è colpa di queste aziende, ma degli sviluppatori di software e degli operatori del sito web che hanno utilizzato i loro servizi per costruire e gestire il sito web. Sebbene i ricercatori non abbiano nominato direttamente le società interessate, hanno rivelato che tra loro figuravano un “istituto finanziario di importanza sistemica globale”, uno “sviluppatore di firmware” e una “importante piattaforma di hosting”.

“Abbiamo informato tutte le aziende per le quali abbiamo identificato l’esposizione”, afferma Demir. Nel giro di due settimane, afferma, circa il 50% delle organizzazioni ha rimosso le chiavi API esposte, ma alcune di esse non hanno risposto.

Le credenziali esposte sono rimaste pubblicamente accessibili online per una media di 12 mesi, alcune fino a cinque anni. La maggior parte delle credenziali esposte – circa l’84% di quelle trovate – sono state scoperte all’interno di ambienti JavaScript, che i ricercatori ritengono possa essere il risultato dell’utilizzo da parte degli sviluppatori di software di strumenti bundler per impacchettare il proprio codice in modo che possa essere utilizzato online.

Un altro 16% delle credenziali esposte proveniva da risorse di terze parti, il che significa che un plug-in o uno script esterno mal configurato potrebbe trasmettere le chiavi sensibili di un’organizzazione su Internet.

“Nessuno di questi sviluppatori intendeva essere vulnerabile; molti di loro in realtà non hanno nemmeno commesso alcun errore”, afferma katie paxton-paura presso la Manchester Metropolitan University, nel Regno Unito. Le chiavi API sono state rese pubbliche a causa di stranezze di programmazione associate al modo in cui il linguaggio funziona e viene eseguito sui server. “Hanno impostato tutto, il tutto è entrato nella macchina che è la loro pipeline di sviluppo e il tutto si è risolto”, afferma.

Afferma che le chiavi API e le credenziali trapelate sono “un vero problema nello sviluppo di software moderno” Nick Nikiforakis alla Stony Brook University di New York. “Le chiavi API agiscono al posto delle credenziali e consentono a chi le possiede di agire come utente autorizzato su un determinato servizio.” Il problema è che a volte questi possono essere configurati in modo errato e finire per essere inavvertitamente condivisi pubblicamente, il che può avere conseguenze disastrose. “Rivelare accidentalmente la chiave API al pubblico dà il permesso di abusarne da parte degli aggressori che la trovano”, afferma Nikiforakis.

Affrontare il problema è una responsabilità condivisa, afferma Demir. “Naturalmente, gli sviluppatori devono prestare attenzione quando utilizzano queste credenziali API”, afferma, assicurandosi di configurare correttamente l’ambiente di sviluppo. Ha aggiunto che i creatori di strumenti per la creazione di siti Web devono progettare il proprio software in modo che le chiavi segrete siano automaticamente nascoste per impostazione predefinita, piuttosto che affidarsi agli sviluppatori per proteggerle manualmente, e le aziende che ospitano questi siti Web dovrebbero scansionare in modo proattivo le chiavi trapelate e disattivarle immediatamente.