حدد باحثون قاموا بتحليل 10 ملايين صفحة ويب 1,748 اعتماداً نشطاً لواجهات برمجة التطبيقات (API) من 14 مزوداً رئيسياً مكشوفة عبر نحو 10 آلاف موقع إلكتروني، بما في ذلك مواقع تديرها بنوك ومقدمو خدمات رعاية صحية. قد تمكّن هذه التسريبات المهاجمين من الوصول إلى بيانات حساسة أو السيطرة على البنية التحتية الرقمية. ووصف نور الله دمير من جامعة ستانفورد القضية بأنها بالغة الأهمية، حيث تؤثر حتى على كبرى الشركات.
قام فريق بقيادة نور الله دمير في جامعة ستانفورد بكاليفورنيا بمسح 10 ملايين صفحة ويب وعثر على 1,748 اعتماداً نشطاً ومتحققاً منه لواجهات برمجة التطبيقات من خدمات مثل Amazon Web Services وStripe وGitHub وOpenAI. كانت هذه الاعتمادات متناثرة عبر نحو 10 آلاف موقع إلكتروني، وشملت المنظمات المتضررة مؤسسة مالية عالمية ذات أهمية نظامية، ومطور برمجيات ثابتة (firmware)، ومنصة استضافة رئيسية، إلى جانب بنوك ومقدمي خدمات الرعاية الصحية. قد تسمح الاعتمادات المكشوفة، مثل تلك التي قد تكشف عن مفاتيح RSA الخاصة، للمهاجمين بانتحال صفة الخوادم، أو فك تشفير الاتصالات، أو الاستيلاء على التحكم الإداري في البنية التحتية للشركة. ظهر 84% من التسريبات في بيئات JavaScript، ويرجح أن ذلك يعود إلى أدوات الحزم (bundler) التي يستخدمها المطورون، بينما جاء 16% من موارد الطرف الثالث مثل الإضافات البرمجية. كانت الاعتمادات متاحة للجمهور لمدة متوسطها 12 شهراً، وبعضها ظل متاحاً على الإنترنت لمدة تصل إلى خمس سنوات. قام الباحثون بإخطار الشركات المتضررة، وقامت حوالي 50% منها بإزالة المفاتيح خلال أسبوعين، في حين لم يستجب البعض الآخر. أشارت كاتي باكستون-فير من جامعة مانشستر متروبوليتان إلى أن العديد من المطورين لم يقصدوا أن يكونوا غير آمنين، عازيةً هذه التسريبات إلى ثغرات برمجية في مسارات التطوير. وسلط نيك نيكيفوراكيس من جامعة ستوني بروك الضوء على أن مفاتيح واجهة برمجة التطبيقات المسربة تمكّن المهاجمين من التصرف كمستخدمين مصرح لهم، مما يشكل مخاطر في تطوير البرمجيات الحديثة. وشدد دمير على المسؤولية المشتركة: يجب على المطورين تهيئة البيئات بشكل صحيح، وينبغي على صانعي الأدوات إخفاء المفاتيح افتراضياً، كما يجب على المستضيفين مسح التسريبات وتعطيلها على الفور. تم تفصيل النتائج في ورقة بحثية على موقع arXiv (المعرف الرقمي DOI: 10.48550/arXiv.2603.12498).
