Close Menu
    Середа, 17 Червня
    Новини та тренди

    Тисячі сайтів випадково розкривають фінансові та приватні дані користувачів

    Мільйони користувачів ризикують через витоки доступу до фінансів та хмарних сервісів, що виникають через помилки у розробці вебсайтів.
    Тисячі сайтів розкривають секретні дані
    Тисячі сайтів розкривають секретні дані. Фото - itc.ua

    Як повідомляє TechXplore, дослідники зі Стенфордського університету виявили критичну проблему безпеки — тисячі вебсайтів ненавмисно публікують конфіденційні дані через помилки у коді. Йдеться про витік API-ключів, які відкривають доступ до банківських сервісів, хмарних платформ та баз даних.

    У межах аналізу понад 10 мільйонів сайтів було знайдено сотні активних ключів від великих сервісів, що залишалися доступними роками. Проблема виникає під час роботи сайтів у реальному середовищі, коли дані випадково потрапляють у відкритий JavaScript-код, пише Traveller.

    Як саме відбувається витік

    Дослідники використовували базу HTTP Archive, яка фіксує роботу сайтів під час завантаження сторінок. Вони відстежували, як обробляються дані у браузері користувача, і виявили, що секретні ключі з’являються прямо під час відвідування сайту.

    Ці ключі — це текстові рядки, які сайт використовує для автентифікації у зовнішніх сервісах. Якщо вони опиняються у відкритому доступі, будь-хто може:

    • отримати доступ до хмарних серверів
    • використовувати платіжні системи
    • завантажити клієнтські бази даних

    Загалом було знайдено 1748 підтверджених активних облікових даних.

    Чому це не провина сервісів

    Фахівці підкреслюють: проблема не у постачальниках інфраструктури. Помилки виникають на стороні розробників сайтів, які випадково включають секретні ключі у фінальний код.

    Дослідники пояснюють, що більшість витоків відбувається саме під час компіляції та розгортання сайтів, а не на етапі розробки.

    Позиція авторів дослідження:

    Наші результати показують, що більшість витоків виникає під час компіляції та проявляється лише у реальному середовищі. Це робить традиційні методи статичного аналізу недостатніми для сучасного вебу.

    Масштаби проблеми та реакція

    Після виявлення витоків дослідники повідомили компанії. Уже протягом двох тижнів приблизно половину ключів було деактивовано або видалено.

    Втім, частина даних залишалася у відкритому доступі понад рік, а в окремих випадках — навіть кілька років.

    Як можна уникнути подібних витоків

    Фахівці пропонують кілька практичних рішень:

    • перевіряти фінальні версії сайтів перед запуском
    • впроваджувати автоматичне сканування продакшн-коду
    • обмежувати доступ до секретних ключів
    • використовувати системи моніторингу витоків

    Окремо наголошується, що провайдерам сервісів варто вдосконалити інструменти, які автоматично повідомляють клієнтів про компрометацію ключів.

    Нагадаємо, раніше ми писали про оновлення Android 17 beta 3 від Google з новими функціями та змінами інтерфейсу.

    Share.

    Схожі публікації