Araştırmacılar, API anahtarlarının bulunabileceği yaklaşık 10.000 web sitesi tespit ederek, saldırganların hassas bilgilere erişmesine olanak tanıyabilecek ayrıntıları açığa çıkardı
Sızan anahtarlar, saldırganların bir şirketin dijital altyapısının kontrolünü ele geçirmesine olanak tanımış olabilir
Kritik güvenlik kimlik bilgileri, bazı bankalar ve sağlık hizmeti sağlayıcıları tarafından yönetilenler de dahil olmak üzere binlerce web sitesinde yanlışlıkla açığa çıkıyor.
Sızan ayrıntılar, saldırganların sunucuları taklit etmesine, özel iletişimlerin şifresini çözmesine veya bir şirketin dijital altyapısının tam idari kontrolünü ele geçirmesine olanak tanıyan RSA özel anahtarları gibi hassas verilere meraklıların erişimini sağlamış olabilir. Kaliforniya’daki Stanford Üniversitesi’nden Nurullah Demir, “Bu çok önemli bir konu ve sadece küçük şirketleri değil, bazı çok büyük şirketleri de etkiliyor” diyor.
Demir ve meslektaşları, kaç tane uygulama programlama arayüzü (API) kimlik bilgilerinin sızdırıldığını ortaya çıkarmak için 10 milyon web sayfasını analiz etti. API anahtarları, bulut platformları, ödeme işlemcileri ve mesajlaşma hizmetleri için erişim belirteçleri görevi görerek farklı yazılım sistemlerinin sorunsuz bir şekilde iletişim kurmasına olanak tanır.
Araştırmacılar web’i tarayarak yaklaşık 10.000 web sitesine dağılmış, Amazon Web Services, Stripe, GitHub ve OpenAI dahil olmak üzere 14 büyük hizmet sağlayıcısından 1748 doğrulanmış, aktif kimlik bilgisi tespit etti.
Güvenlik açığı bu şirketlerin hatası değil, web siteleri oluşturmak ve çalıştırmak için onların hizmetlerini kullanan yazılım geliştiricilerin ve web sitesi operatörlerinin hatasıdır. Araştırmacılar etkilenen şirketlerin isimlerini doğrudan belirtmese de, bunların arasında “küresel, sistematik açıdan önemli bir finans kurumu”, bir “ürün yazılımı geliştiricisi” ve “büyük bir barındırma platformu” bulunduğunu açıkladılar.
Demir, “Tehdit tespit ettiğimiz tüm şirketleri bilgilendirdik” diyor. İki hafta içinde kuruluşların yaklaşık yüzde 50’sinin açığa çıkan API anahtarlarını kaldırdığını ancak bazılarının yanıt vermediğini söylüyor.
Açığa çıkan kimlik bilgileri ortalama 12 ay boyunca kamuya açık kaldı, bazıları ise beş yıla kadar çevrimiçi kaldı. Açığa çıkan bu kimlik bilgilerinin çoğunluğu (bulunanların yaklaşık yüzde 84’ü) JavaScript ortamlarında keşfedildi; araştırmacılar bunun, yazılım geliştiricilerin kodlarını çevrimiçi kullanılabilecek şekilde paketlemek için paketleyici araçlarını kullanmalarının bir sonucu olabileceğine inanıyor.
Açığa çıkan kimlik bilgilerinin diğer yüzde 16’sı üçüncü taraf kaynaklardan kaynaklanıyor; bu da kötü yapılandırılmış bir harici eklentinin veya komut dosyasının bir kuruluşun hassas anahtarlarını internet üzerinden yayınlayabileceği anlamına geliyor.
Birleşik Krallık’taki Manchester Metropolitan Üniversitesi’nden Katie Paxton-Fear, “Bu geliştiricilerin hiçbiri güvensiz olmak niyetinde değildi; birçoğu aslında ilk etapta hata bile yapmadı” diyor. Dilin sunucuda nasıl çalıştığı ve çalıştığıyla ilgili programlama tuhaflıkları nedeniyle API anahtarları halka açık hale getirildi. “Her şeyi doğru yaptılar ve bu, geliştirme hattı olan makineye girdi ve ortaya çıktı” diyor.
New York Stony Brook Üniversitesi’nden Nick Nikiforakis, sızdırılan API anahtarlarının ve kimlik bilgilerinin “modern yazılım geliştirmede gerçek bir sorun” olduğunu söylüyor. “API anahtarları, kimlik bilgilerinin yerine geçer ve onlara sahip olan kişinin belirli bir hizmette yetkili kullanıcı olarak hareket etmesine olanak tanır.” Sorun şu ki, bunlar bazen yanlış yapılandırılabilir ve sonuçta felaketle sonuçlanabilecek şekilde yanlışlıkla kamuya açık olarak paylaşılabilir. Nikiforakis, “Bir API anahtarının yanlışlıkla halka açıklanması, onu bulan saldırganların onu kötüye kullanmasına olanak tanır” diyor.
Demir, sorunla mücadele etmenin ortak bir sorumluluk olduğunu söylüyor. Geliştirme ortamlarını doğru şekilde yapılandırdıklarından emin olarak, “Geliştiricilerin elbette bu API kimlik bilgilerini kullanırken dikkatli olmaları gerekir” diyor. Web sitesi oluşturma araçlarının yaratıcılarının, geliştiricilerin bunları manuel olarak güvence altına almasına güvenmek yerine, gizli anahtarların varsayılan olarak otomatik olarak gizlenmesini sağlayacak şekilde yazılımlarını tasarlamaları gerektiğini ve bu web sitelerini barındıran şirketlerin sızdırılmış anahtarları aktif olarak taraması ve bunları derhal devre dışı bırakması gerektiğini ekliyor.
