1.500’den fazla uygulama, sızdıran API anahtarları buldu ve potansiyel olarak kullanıcı verilerini ifşa etti



Güvenlik araştırmacıları, Algolia uygulama programlama arayüzü anahtarını ve uygulama kimliğini sızdıran ve potansiyel olarak kullanıcı verilerini ifşa eden 1.500’den fazla uygulamayı ortaya çıkardı.

Araştırmacılar tarafından keşfedildi CloudSEK Bilgi Güvenliği San. Ltd. ve ile paylaşılan Bilgi Güvenliği Dergisi bugün, şimdiye kadar bulunan 57 benzersiz yönetici anahtarıyla birlikte, 32 uygulamanın kodlanmış kritik yönetici sırlarına sahip olduğu bulundu.

Algolia Inc.’in API’si, web sitelerinde ve uygulamalarda arama yapmak için kullanılır. Arama API’si, aralarında Stripe Inc., Slack, Medium Corp. ve Zendesk Inc.’in de bulunduğu binlerce şirket için her ay milyarlarca sorguyu destekler; ancak bu durumda, yalnızca bazen güvenlidir.

Araştırmacılar, yönetici API anahtarının, yalnızca arama API anahtarı, izleme API anahtarı, kullanım API anahtarı ve analitik API anahtarları dahil olmak üzere önceden tanımlanmış farklı Algolia API Anahtarlarına erişmek için kullanılabileceğini açıkladı. Erişim, tehdit aktörlerinin kullanıcıların kişisel bilgilerini okumasına, kullanıcı bilgilerini değiştirmesine ve silmesine, IP adreslerine erişmesine ve bir kullanıcının uygulama kullanıcılarını görüntülemesine izin verebilir.

Araştırmacılar, yönetici sırları kodlanmış 32 uygulamayı adlandırmamakla birlikte, bunların alışveriş, eğitim, yaşam tarzı, ticaret ve tıp şirketlerini kapsadığını söyledi. Sorunun Algolia veya benzeri hizmetlerden kaynaklanmadığı, uygulama geliştiricilerin API anahtarlarını yanlış kullandığı belirtiliyor.

Geliştiricilere, açığa çıkan tüm anahtarları kaldırmaları, yenilerini oluşturmaları ve bunları güvenli bir şekilde saklamaları önerilir. Verileri ifşa eden şirketler, rapor yayınlanmadan önce konu hakkında bilgilendirildi.

Mobil uygulama koruma şirketinin CEO’su David Stewart, “Bu, mobil uygulamalarda API anahtarlarının depolanmasının ne kadar yaygın olduğunu gösteren uzun bir rapor listesinin sonuncusu.” onaylaSiliconANGLE’a söyledi.

Sorunun, geliştiricilerin altta yatan tehditlere karşı koymak için basit hafifletme yöntemleri kullanmaması olduğu söyleniyor. “Özellikle, Algolia gibi üçüncü taraf API’ler söz konusu olduğunda, mobil uygulama geliştiricileri, API anahtarlarını yalnızca gerçek uygulama örneklerine ve yalnızca API çağrıları yapmak gerektiğinde sağlamak için tam zamanında teslim mekanizmalarından kolayca yararlanabilir.” açıkladı. “Bu, uygulamadan ‘sızan’ herhangi bir API anahtarını komut dosyaları aracılığıyla kullanma ve kötüye kullanma girişimlerini engelleyecektir.”

Chad Glinsky, güvenlik duruşu şirketinde arka uç mühendisi Horizon3.ai Inc.tüm kullanıcıların API anahtarlarının etkili bir şekilde bir kullanıcı adı ve şifre olduğunu anlamaları gerektiği yorumunu yaptı.

“Sızdırılırlarsa, bu kullanıcı adınızı ve şifrenizi sızdırmaya benzer… Bueno olmaz!” Glinsky ekledi. “Kullanıcılar, şifrelerini korudukları kadar güçlü bir şekilde API anahtarlarını da korumalıdır. Bir API anahtarının sızdırılması, bir kullanıcı adı ve parola girişinin sızdırılmasından daha önemli olabilir, çünkü günümüzde oturum açma işlemleri genellikle iki faktörlü kimlik doğrulama ile korunurken API anahtarları korunmaz.”

Resim: Pixabay

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Services ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha pek çok aydın ve uzmanın yer aldığı topluluğa katılın.


Kaynak : https://siliconangle.com/2022/11/21/1500-apps-found-leaking-api-keys-potentially-exposing-user-data/

Yorum yapın