Pesquisadores descobrem chaves de API vazadas em quase 10 mil sites

Uma equipe liderada por Nurullah Demir na Universidade de Stanford, na Califórnia, examinou 10 milhões de páginas da web e encontrou 1.748 credenciais de API verificadas e ativas de serviços como Amazon Web Services, Stripe, GitHub e OpenAI. Elas estavam espalhadas por quase 10 mil sites, com organizações afetadas que incluem uma instituição financeira global sistemicamente importante, um desenvolvedor de firmware e uma grande plataforma de hospedagem, além de bancos e provedores de saúde. As credenciais expostas, como as que poderiam potencialmente revelar chaves privadas RSA, poderiam permitir que invasores se passassem por servidores, descriptografassem comunicações ou assumissem o controle administrativo da infraestrutura da empresa. 84% dos vazamentos apareceram em ambientes JavaScript, provavelmente devido a ferramentas de empacotamento usadas pelos desenvolvedores, enquanto 16% vieram de recursos de terceiros, como plugins. As credenciais estavam publicamente acessíveis por uma média de 12 meses, com algumas online por até cinco anos. Os pesquisadores notificaram as empresas afetadas e cerca de 50% removeram as chaves dentro de duas semanas, embora algumas não tenham respondido. Katie Paxton-Fear, da Universidade Metropolitana de Manchester, observou que muitos desenvolvedores não pretendiam ser inseguros, atribuindo as exposições a peculiaridades de programação nos pipelines de desenvolvimento. Nick Nikiforakis, da Universidade de Stony Brook, destacou que chaves de API vazadas permitem que invasores ajam como usuários autorizados, representando riscos no desenvolvimento moderno de software. Demir enfatizou a responsabilidade compartilhada: os desenvolvedores devem configurar os ambientes corretamente, os criadores de ferramentas devem ocultar as chaves por padrão e os hosts devem verificar e desativar vazamentos prontamente. As descobertas estão detalhadas em um artigo no arXiv (DOI: 10.48550/arXiv.2603.12498).