Para peneliti yang menganalisis 10 juta halaman web telah mengidentifikasi 1.748 kredensial API aktif dari 14 penyedia utama yang terekspos di hampir 10.000 situs web, termasuk yang dijalankan oleh bank dan penyedia layanan kesehatan. Kebocoran ini dapat memungkinkan penyerang untuk mengakses data sensitif atau menguasai infrastruktur digital. Nurullah Demir dari Stanford University menggambarkan masalah ini sangat signifikan, yang bahkan berdampak pada perusahaan-perusahaan besar.
Tim yang dipimpin oleh Nurullah Demir di Stanford University, California, memindai 10 juta halaman web dan menemukan 1.748 kredensial API aktif yang terverifikasi dari layanan seperti Amazon Web Services, Stripe, GitHub, dan OpenAI. Kredensial tersebut tersebar di hampir 10.000 situs web, dengan organisasi yang terdampak mencakup lembaga keuangan global yang sistemik, pengembang firmware, dan platform hosting besar, di samping bank serta penyedia layanan kesehatan. Kredensial yang terekspos, seperti yang berpotensi mengungkap kunci privat RSA, dapat memungkinkan penyerang untuk meniru server, mendekripsi komunikasi, atau mengambil kendali administratif atas infrastruktur perusahaan. Sebanyak 84% kebocoran muncul di lingkungan JavaScript, kemungkinan karena alat pembundel (bundler) yang digunakan oleh pengembang, sementara 16% berasal dari sumber daya pihak ketiga seperti plugin. Kredensial tersebut telah dapat diakses publik selama rata-rata 12 bulan, dengan beberapa di antaranya terpampang daring hingga lima tahun. Para peneliti memberi tahu perusahaan yang terdampak, dan sekitar 50% menghapus kunci tersebut dalam waktu dua minggu, meskipun beberapa tidak memberikan tanggapan. Katie Paxton-Fear di Manchester Metropolitan University mencatat bahwa banyak pengembang tidak bermaksud untuk tidak aman, dan mengaitkan paparan tersebut dengan keunikan pemrograman dalam alur kerja pengembangan. Nick Nikiforakis di Stony Brook University menyoroti bahwa kunci API yang bocor memungkinkan penyerang untuk bertindak sebagai pengguna yang sah, yang menimbulkan risiko dalam pengembangan perangkat lunak modern. Demir menekankan tanggung jawab bersama: pengembang harus mengonfigurasi lingkungan dengan benar, pembuat alat harus menyembunyikan kunci secara default, dan penyedia hosting harus segera memindai serta menonaktifkan kebocoran. Temuan ini dirinci dalam sebuah makalah di arXiv (DOI: 10.48550/arXiv.2603.12498).
