Credenciais de segurança vazaram acidentalmente em milhares de sites

Credenciais críticas de segurança foram expostas acidentalmente em milhares de sites – incluindo sites administrados por vários bancos e prestadores de serviços de saúde.

Detalhes vazados podem dar aos bisbilhoteiros acesso a dados confidenciais, como chaves privadas RSA, permitindo que invasores se façam passar por servidores, descriptografem comunicações privadas ou obtenham controle administrativo total da infraestrutura digital de uma empresa. “Este é um problema muito significativo e não afeta apenas as pequenas empresas, mas também algumas grandes empresas”, disse ele Nurullah Demir na Universidade de Stanford, na Califórnia.

Demir e seus colegas analisaram 10 milhões de páginas da web para revelar quantas credenciais de interface de programação de aplicativos (API) vazaram. As chaves de API permitem que diferentes sistemas de software se comuniquem perfeitamente, atuando como tokens de acesso para plataformas em nuvem, processadores de pagamento e serviços de mensagens.

Ao examinar a web, os pesquisadores identificaram 1.748 credenciais ativas e verificadas de 14 grandes provedores de serviços – incluindo Amazon Web Services, Stripe, GitHub e OpenAI – espalhadas por quase 10.000 sites.

Essas vulnerabilidades não são culpa dessas empresas, mas sim dos desenvolvedores de software e operadores de sites que usam seus serviços para construir e administrar sites. Embora os investigadores não tenham nomeado diretamente as empresas afetadas, revelaram que as empresas incluem “instituições financeiras globais sistemicamente importantes”, “desenvolvedores de firmware” e “principais plataformas de alojamento”.

“Notificamos todas as empresas cuja exposição identificamos”, disse Demir. Em duas semanas, cerca de 50% das organizações removeram as chaves de API expostas, mas algumas delas não responderam, disse ele.

As credenciais expostas permaneceram acessíveis ao público por uma média de 12 meses, e algumas permaneceram online por até cinco anos. A maioria das credenciais expostas – cerca de 84% descobertas – foram encontradas em ambientes JavaScript, algo que os pesquisadores acreditam que pode ser uma consequência do uso de ferramentas de empacotamento pelos desenvolvedores de software para empacotar seu código de forma que possa ser usado online.

Outros 16% das credenciais expostas vieram de recursos de terceiros, o que significa que plug-ins ou scripts externos mal configurados poderiam espalhar as chaves confidenciais de uma organização pela Internet.

“Nenhum desses desenvolvedores pretendia se sentir inseguro; muitos deles nem mesmo fizeram algo errado”, disse Katie Paxton-Medo na Manchester Metropolitan University, Inglaterra. Em vez disso, as chaves de API são publicadas devido a peculiaridades de programação relacionadas ao modo como a linguagem funciona e é executada no servidor. “Eles fazem tudo certo e isso entra no mecanismo que é o pipeline de desenvolvimento e sai”, disse ele.

Chaves e credenciais de API vazadas são “um problema real no desenvolvimento de software moderno”, disse ele Nick Nikiforaki na Stony Brook University, Nova York. “As chaves de API substituem as credenciais e permitem que qualquer pessoa que as possua atue como um usuário autorizado em um serviço específico.” O problema é que às vezes as informações ficam mal configuradas e acabam sendo compartilhadas publicamente por acidente – com consequências terríveis. “A divulgação inadvertida de chaves de API ao público permite que os invasores que as descobrem abusem delas”, disse Nikiforakis.

Superar esse problema é uma responsabilidade compartilhada, disse Demir. “Os desenvolvedores, é claro, devem ter (cuidado) ao usar essas credenciais de API”, disse ele, garantindo que configurem seus ambientes de desenvolvimento da maneira correta. Os fabricantes de ferramentas de criação de sites precisam projetar seus softwares para que as chaves secretas sejam ocultadas automaticamente por padrão, em vez de depender dos desenvolvedores para protegê-las manualmente, acrescentou ele, e as empresas que hospedam esses sites devem procurar ativamente por chaves vazadas e desativá-las imediatamente.