Forskare som analyserat 10 miljoner webbsidor har identifierat 1 748 aktiva API-uppgifter från 14 större leverantörer som exponerats på nästan 10 000 webbplatser, inklusive sådana som drivs av banker och vårdgivare. Dessa läckor kan göra det möjligt för angripare att komma åt känslig data eller ta kontroll över digital infrastruktur. Nurullah Demir från Stanford University beskrev problemet som mycket betydande, då det även påverkar stora företag.
Ett team lett av Nurullah Demir vid Stanford University i Kalifornien skannade 10 miljoner webbsidor och fann 1 748 verifierade, aktiva API-uppgifter från tjänster som Amazon Web Services, Stripe, GitHub och OpenAI. Dessa var utspridda över nästan 10 000 webbplatser, där de drabbade organisationerna inkluderade ett globalt systemkritiskt finansinstitut, en firmwareutvecklare och en stor värdplattform, vid sidan av banker och vårdgivare. De exponerade uppgifterna, såsom de som potentiellt kan avslöja privata RSA-nycklar, skulle kunna tillåta angripare att utge sig för att vara servrar, dekryptera kommunikation eller ta administrativ kontroll över företags infrastruktur. 84 % av läckorna förekom i JavaScript-miljöer, troligen på grund av paketeringsverktyg som används av utvecklare, medan 16 % kom från tredjepartsresurser såsom tilläggsprogram. Uppgifterna hade varit offentligt tillgängliga i genomsnitt 12 månader, där vissa varit online i upp till fem år. Forskarna meddelade de berörda företagen, och cirka 50 % tog bort nycklarna inom två veckor, även om vissa inte svarade. Katie Paxton-Fear vid Manchester Metropolitan University noterade att många utvecklare inte hade för avsikt att vara osäkra, och tillskrev exponeringarna programmeringsegenskaper i utvecklingsflöden. Nick Nikiforakis vid Stony Brook University betonade att läckta API-nycklar gör det möjligt för angripare att agera som behöriga användare, vilket utgör risker i modern mjukvaruutveckling. Demir betonade delat ansvar: utvecklare måste konfigurera miljöer korrekt, verktygsskapare bör dölja nycklar som standard, och värdar bör skanna och inaktivera läckor skyndsamt. Resultaten beskrivs i detalj i en rapport på arXiv (DOI: 10.48550/arXiv.2603.12498).
