Phi Vũ
New member
Nghiên cứu trên 10 triệu trang web cho thấy hàng nghìn trang vô tình để lộ khóa API nhạy cảm, liên quan đến các dịch vụ lớn như AWS, Stripe và OpenAI. Vấn đề bắt nguồn từ cách xử lý khóa bởi nhà phát triển chứ không phải lỗi của nhà cung cấp dịch vụ.
Các nhà nghiên cứu phân tích khoảng 10 triệu trang web và phát hiện hàng nghìn trang vô tình công khai thông tin đăng nhập API nhạy cảm, bao gồm các khóa liên kết tới dịch vụ lớn như Amazon Web Services (AWS), Stripe và OpenAI.
Đây là vấn đề nghiêm trọng bởi API là xương sống của nhiều ứng dụng hiện nay: chúng kết nối website với hệ thống thanh toán, lưu trữ đám mây và công cụ AI. Một khi khóa bị lộ, bất kỳ ai cũng có thể sử dụng dịch vụ đó với mục đích xấu.
Cụ thể, nghiên cứu ghi nhận 1.748 thông tin đăng nhập API riêng lẻ xuất hiện trên gần 10.000 trang web, liên quan tới 14 nhà cung cấp dịch vụ lớn. Những rò rỉ này không chỉ xảy ra ở các trang nhỏ, mà còn xuất hiện trên nền tảng của ngân hàng toàn cầu và những nhà phát triển phần mềm lớn.
Khoảng 84% rò rỉ đến từ các file JavaScript, tức là các khóa nằm trong mã phía khách hàng và có thể truy cập dễ dàng qua trình duyệt. Điều này nghĩa là nhiều khóa thực tế đang nằm công khai trong mã nguồn mà người dùng hoặc người tấn công có thể xem được.
Thời gian các khóa bị lộ còn đáng lo: nhiều khóa hiển thị công khai đến 12 tháng, thậm chí có trường hợp kéo dài vài năm mà không bị phát hiện. Điều này tạo cơ hội lớn cho kẻ xấu khai thác trước khi bị vô hiệu hóa.
Nghiên cứu nhấn mạnh nguyên nhân chủ yếu không phải đến từ nhà cung cấp dịch vụ như Amazon, Stripe hay OpenAI, mà từ cách các nhà phát triển xử lý khóa API. Nhiều lập trình viên vô tình để lại khóa riêng tư trong mã front-end của trang web, khiến chúng hiển thị công khai cho bất kỳ ai biết cách tìm.
Để giảm rủi ro trong tương lai, các nhà nghiên cứu đề xuất một số bước thực tế: quét phiên bản trang web đang chạy (live), chứ không chỉ kiểm tra mã nguồn nội bộ; siết chặt quy tắc cho các công cụ tự động tạo website để tránh chèn dữ liệu nhạy cảm khi triển khai; và yêu cầu nhà cung cấp dịch vụ cải thiện hệ thống phát hiện để cảnh báo ngay khi khóa xuất hiện công khai.
Việc tiết lộ có trách nhiệm (responsible disclosure) đã giúp giảm bớt một số rò rỉ, nhưng quy mô vấn đề vẫn lớn. Báo cáo cũng cảnh báo rằng chỉ cần truy cập một trang web không an toàn cũng có thể đặt thiết bị của người dùng vào rủi ro, cho thấy an ninh web vẫn còn mong manh với người dùng Internet hàng ngày.
Nguồn: Digitaltrends
Các nhà nghiên cứu phân tích khoảng 10 triệu trang web và phát hiện hàng nghìn trang vô tình công khai thông tin đăng nhập API nhạy cảm, bao gồm các khóa liên kết tới dịch vụ lớn như Amazon Web Services (AWS), Stripe và OpenAI.
Đây là vấn đề nghiêm trọng bởi API là xương sống của nhiều ứng dụng hiện nay: chúng kết nối website với hệ thống thanh toán, lưu trữ đám mây và công cụ AI. Một khi khóa bị lộ, bất kỳ ai cũng có thể sử dụng dịch vụ đó với mục đích xấu.
Cụ thể, nghiên cứu ghi nhận 1.748 thông tin đăng nhập API riêng lẻ xuất hiện trên gần 10.000 trang web, liên quan tới 14 nhà cung cấp dịch vụ lớn. Những rò rỉ này không chỉ xảy ra ở các trang nhỏ, mà còn xuất hiện trên nền tảng của ngân hàng toàn cầu và những nhà phát triển phần mềm lớn.
Khoảng 84% rò rỉ đến từ các file JavaScript, tức là các khóa nằm trong mã phía khách hàng và có thể truy cập dễ dàng qua trình duyệt. Điều này nghĩa là nhiều khóa thực tế đang nằm công khai trong mã nguồn mà người dùng hoặc người tấn công có thể xem được.
Thời gian các khóa bị lộ còn đáng lo: nhiều khóa hiển thị công khai đến 12 tháng, thậm chí có trường hợp kéo dài vài năm mà không bị phát hiện. Điều này tạo cơ hội lớn cho kẻ xấu khai thác trước khi bị vô hiệu hóa.
Nghiên cứu nhấn mạnh nguyên nhân chủ yếu không phải đến từ nhà cung cấp dịch vụ như Amazon, Stripe hay OpenAI, mà từ cách các nhà phát triển xử lý khóa API. Nhiều lập trình viên vô tình để lại khóa riêng tư trong mã front-end của trang web, khiến chúng hiển thị công khai cho bất kỳ ai biết cách tìm.
Để giảm rủi ro trong tương lai, các nhà nghiên cứu đề xuất một số bước thực tế: quét phiên bản trang web đang chạy (live), chứ không chỉ kiểm tra mã nguồn nội bộ; siết chặt quy tắc cho các công cụ tự động tạo website để tránh chèn dữ liệu nhạy cảm khi triển khai; và yêu cầu nhà cung cấp dịch vụ cải thiện hệ thống phát hiện để cảnh báo ngay khi khóa xuất hiện công khai.
Việc tiết lộ có trách nhiệm (responsible disclosure) đã giúp giảm bớt một số rò rỉ, nhưng quy mô vấn đề vẫn lớn. Báo cáo cũng cảnh báo rằng chỉ cần truy cập một trang web không an toàn cũng có thể đặt thiết bị của người dùng vào rủi ro, cho thấy an ninh web vẫn còn mong manh với người dùng Internet hàng ngày.
Nguồn: Digitaltrends
Bài viết liên quan
