Investigadores que analizaron 10 millones de páginas web han identificado 1.748 credenciales de API activas de 14 proveedores importantes expuestas en casi 10.000 sitios web, incluidos aquellos operados por bancos y proveedores de atención médica. Estas filtraciones podrían permitir a los atacantes acceder a datos confidenciales u obtener el control de la infraestructura digital. Nurullah Demir, de la Universidad de Stanford, describió el problema como muy significativo, afectando incluso a grandes empresas.
Un equipo dirigido por Nurullah Demir en la Universidad de Stanford, California, escaneó 10 millones de páginas web y encontró 1.748 credenciales de API verificadas y activas de servicios como Amazon Web Services, Stripe, GitHub y OpenAI. Estas se encontraban dispersas en casi 10.000 sitios web, y entre las organizaciones afectadas se incluyen una institución financiera global de importancia sistémica, un desarrollador de firmware y una importante plataforma de alojamiento, además de bancos y proveedores de atención médica. Las credenciales expuestas, como aquellas que podrían revelar claves privadas RSA, podrían permitir a los atacantes suplantar servidores, descifrar comunicaciones o tomar el control administrativo de la infraestructura de la empresa. El 84% de las filtraciones aparecieron en entornos JavaScript, probablemente debido a herramientas de empaquetado (bundlers) utilizadas por los desarrolladores, mientras que el 16% provino de recursos de terceros como complementos. Las credenciales habían estado accesibles públicamente durante un promedio de 12 meses, y algunas estuvieron en línea hasta cinco años. Los investigadores notificaron a las empresas afectadas y aproximadamente el 50% eliminó las claves en un plazo de dos semanas, aunque algunas no respondieron. Katie Paxton-Fear, de la Universidad Metropolitana de Manchester, señaló que muchos desarrolladores no tenían la intención de ser inseguros, atribuyendo las exposiciones a peculiaridades de programación en los procesos de desarrollo. Nick Nikiforakis, de la Universidad de Stony Brook, destacó que las claves de API filtradas permiten a los atacantes actuar como usuarios autorizados, lo que plantea riesgos en el desarrollo de software moderno. Demir enfatizó la responsabilidad compartida: los desarrolladores deben configurar los entornos correctamente, los creadores de herramientas deben ocultar las claves de forma predeterminada y los proveedores de alojamiento deben escanear y desactivar las filtraciones rápidamente. Los hallazgos se detallan en un artículo en arXiv (DOI: 10.48550/arXiv.2603.12498).
