- Miles de claves API abiertas otorgan acceso silencioso a sistemas críticos
- Las páginas web públicas contienen certificados que desbloquean servicios de pago y en la nube.
- Los desarrolladores, sin saberlo, dejan tokens API confidenciales incrustados en sitios web activos
Los investigadores de seguridad de la Universidad de Stanford, UC Davis y TU Delft dicen que las credenciales API confidenciales se encuentran abiertamente en miles de páginas web públicas con muy poca protección.
Según una versión preimpresa del estudio sobre arXiv, los investigadores analizaron 10 millones de páginas web e identificaron 1.748 certificados válidos expuestos en casi 10.000 páginas.
Estas certificaciones cubren plataformas en la nube, servicios de pago y herramientas de desarrollo utilizadas en entornos de producción.
El artículo continúa a continuación.
Amplia exposición en sitios web todos los días
El problema afecta tanto a sitios menos conocidos como a organizaciones de alto perfil, incluidos casos vinculados a instituciones financieras y servicios relacionados con infraestructura.
Nurullah Demir, candidato a doctorado en Stanford, dijo: “Lo que encontramos fueron credenciales API altamente sensibles expuestas públicamente en páginas web públicas”, describiendo un patrón que sugiere controles deficientes en lugar de errores aislados.
Estas credenciales actúan como tokens de acceso que permiten que las aplicaciones se comuniquen directamente con sistemas externos.
Las credenciales API se diferencian de los detalles de inicio de sesión estándar porque permiten el acceso automático y continuo a los servicios, a menudo sin capas de verificación adicionales.
Demir señaló que dicho acceso podría extenderse a bases de datos, sistemas de almacenamiento e infraestructura de administración de claves, dependiendo de los permisos adjuntos a cada clave.
Un ejemplo involucró a una importante institución financiera donde las credenciales de la nube estaban integradas en el código del sitio web, creando exposición directa a los servicios internos.
En otro caso, se encontraron expuestas las credenciales del repositorio vinculadas al desarrollo de firmware, lo que aumentó la posibilidad de modificaciones de código no autorizadas y distribución de actualizaciones modificadas.
Esto extiende el riesgo más allá del acceso a los datos a la posible manipulación del software utilizado en los dispositivos conectados.
Los investigadores identificaron la mayoría de las exposiciones al código del lado del cliente, particularmente a los archivos JavaScript distribuidos a los navegadores de los usuarios.
Aproximadamente el 84% de los certificados identificados aparecieron en recursos de JavaScript, muchos de los cuales se originaron a partir de archivos de paquete creados por herramientas de compilación como Webpack.
Estos procesos pueden incluir inadvertidamente datos confidenciales si las configuraciones no se controlan estrictamente.
Otras exposiciones se encuentran en archivos HTML y JSON, mientras que algunas aparecen en ubicaciones menos comunes, como CSS.
La distribución entre múltiples tipos de archivos sugiere que el problema está integrado en cómo se crean los recursos web y no se limita a una sola fase de desarrollo.
El estudio también encontró que los certificados abiertos a menudo permanecen accesibles durante largos períodos de tiempo, que van desde unos pocos meses hasta varios años.
Los desarrolladores a menudo desconocían el problema hasta que se les contactaba, lo que indica lagunas en el proceso de seguimiento y revisión.
Después de que comenzó el esfuerzo de liberación, la cantidad de certificados liberados se redujo aproximadamente a la mitad en dos semanas.
Los investigadores advierten que sus resultados probablemente representen un límite inferior, ya que verificaron las credenciales de un conjunto limitado de proveedores de servicios.
Esto abre la posibilidad de que haya más certificados accesibles públicamente en la web sin ser detectados.
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
