Dopo aver analizzato 10 milioni di pagine net, i ricercatori hanno scoperto migliaia di siti Net espongono accidentalmente credenziali API sensibili, comprese chiavi collegate ai principali servizi come Amazon Net Providers, Stripe e OpenAI.
Questo è un problema serio perché le API fungono da spina dorsale delle app che utilizziamo oggi. Consentono ai siti Net di connettersi a servizi come pagamenti, archiviazione nel cloud e strumenti di intelligenza artificiale, ma si affidano a chiavi digitali per rimanere al sicuro. Una volta esposte, le chiavi API possono consentire a chiunque di interagire con tali servizi con intenti dannosi.
Chiavi API sensibili esposte su migliaia di siti
Secondo TechXplorei ricercatori hanno identificato 1.748 credenziali API uniche in quasi 10.000 pagine net, legate a 14 principali fornitori di servizi. Queste fughe di notizie non si limitavano a siti oscuri, alcuni apparivano su piattaforme gestite da banche globali e importanti sviluppatori di software program.
Circa l’84% di queste fughe di notizie provenivano da file JavaScript, facilmente accessibili tramite un browser. Ciò significa che le credenziali erano effettivamente contenute in un codice visibile pubblicamente.
Ancora più preoccupante è quanto tempo queste chiavi siano rimaste esposte. Alcuni erano visibili fino a 12 mesi, mentre alcuni rari casi mostravano credenziali rimaste pubbliche per diversi anni senza essere scoperte.
Allora, cosa sta causando queste perdite?
Lo studio chiarisce che il problema non riguarda i fornitori di servizi come Amazon, Stripe o OpenAI. Il problema deriva invece dal modo in cui gli sviluppatori gestiscono le chiavi API.
In molti casi, gli sviluppatori includono accidentalmente credenziali API personal nel codice front-end di un sito Net, lasciandolo visibile a chiunque sappia dove cercare.
Come impedire che le chiavi API vengano esposte?
Per prevenire fughe di notizie future, i ricercatori suggeriscono alcuni passaggi pratici. Gli sviluppatori dovrebbero scansionare la versione stay dei loro siti net, e non solo il codice privato, per individuare le chiavi esposte.
Con l’avvento del vibecoding, le aziende hanno bisogno di regole più extreme per gli strumenti automatizzati di creazione di siti net che gestiscono dati sensibili durante la distribuzione. Questo è anche il motivo per cui piattaforme come Lovable hanno iniziato advert aggiungere strumenti di navigazione sicuri per proteggere gli utenti da siti Net con scarsa codifica.
Nel frattempo, i fornitori di servizi devono migliorare i sistemi di rilevamento per segnalare le chiavi esposte nel momento in cui appaiono on-line. Sebbene la divulgazione responsabile abbia contribuito a ridurre alcune di queste fughe di notizie, la portata del problema rimane significativa.
Rapporti recenti hanno anche dimostrato come la semplice visita di un sito Net possa esporre il proprio dispositivo a gravi rischi, evidenziando quanto fragile possa essere la sicurezza net per gli utenti Web di tutti i giorni.
