تسربت بيانات الاعتماد الأمنية عن غير قصد إلى الآلاف من مواقع الويب

يتم الكشف عن بيانات الاعتماد الأمنية المهمة عن غير قصد على آلاف مواقع الويب، بما في ذلك تلك التي تديرها بعض البنوك ومقدمي الرعاية الصحية.

وكان من الممكن أن تمنح التفاصيل المسربة المتلصصين إمكانية الوصول إلى البيانات الحساسة مثل مفاتيح RSA الخاصة، والتي تسمح للمهاجمين بانتحال صفة الخوادم أو فك تشفير الاتصالات الخاصة أو الحصول على سيطرة إدارية كاملة على البنية التحتية الرقمية للشركة. يقول نور الله ديمير من جامعة ستانفورد في كاليفورنيا: “إن هذه قضية بالغة الأهمية، وهي لا تؤثر على الشركات الصغيرة فحسب، بل على بعض الشركات الكبيرة جدًا”.

قام دمير وزملاؤه بتحليل 10 ملايين صفحة ويب للكشف عن عدد بيانات اعتماد واجهة برمجة التطبيقات (API) المسربة. تتيح مفاتيح واجهة برمجة التطبيقات (API) لأنظمة البرامج المختلفة التواصل بسلاسة، وتعمل كرموز وصول للمنصات السحابية ومعالجات الدفع وخدمات المراسلة.

ومن خلال مسح الويب، حدد الباحثون 1748 من بيانات الاعتماد النشطة والمتحقق منها من 14 من مقدمي الخدمات الرئيسيين – بما في ذلك Amazon Web Services وStripe وGitHub وOpenAI – المنتشرة عبر ما يقرب من 10000 موقع ويب.

وليست الثغرة الأمنية خطأ تلك الشركات، بل خطأ مطوري البرامج ومشغلي مواقع الويب الذين استخدموا خدماتهم لإنشاء مواقع الويب وتشغيلها. في حين أن الباحثين لم يذكروا بشكل مباشر الشركات المتضررة، إلا أنهم كشفوا أنها تشمل “مؤسسة مالية عالمية ذات أهمية منهجية”، و”مطور برامج ثابتة”، و”منصة استضافة رئيسية”.

يقول دمير: “لقد أبلغنا جميع الشركات التي حددنا تعرضها لها”. وفي غضون أسبوعين، قام حوالي 50% من المؤسسات بإزالة مفاتيح واجهة برمجة التطبيقات المكشوفة، لكن بعضها لم يستجب، كما يقول.

وظلت بيانات الاعتماد المكشوفة متاحة للعامة لمدة 12 شهرًا في المتوسط، وبعضها عبر الإنترنت لمدة تصل إلى خمس سنوات. تم اكتشاف غالبية بيانات الاعتماد التي تم الكشف عنها – حوالي 84% منها – داخل بيئات جافا سكريبت، وهو أمر يعتقد الباحثون أنه قد يكون نتيجة لاستخدام مطوري البرامج أدوات التجميع لحزم التعليمات البرمجية الخاصة بهم بطريقة يمكن استخدامها عبر الإنترنت.

16% أخرى من بيانات الاعتماد المكشوفة تنبع من موارد طرف ثالث، مما يعني أن البرنامج الإضافي أو البرنامج النصي الخارجي الذي تم تكوينه بشكل سيئ يمكن أن يبث مفاتيح حساسة للمؤسسة عبر الإنترنت.

تقول كاتي باكستون فير من جامعة مانشستر متروبوليتان بالمملكة المتحدة: “لم يكن أي من هؤلاء المطورين يقصد أن يشعر بعدم الأمان؛ بل إن الكثير منهم لم يرتكبوا أي خطأ في المقام الأول”. بدلاً من ذلك، تم نشر مفاتيح واجهة برمجة التطبيقات للعامة بسبب مراوغات البرمجة المرتبطة بكيفية عمل اللغة وتشغيلها على الخادم. وتقول: “لقد فعلوا كل شيء بشكل صحيح، ودخلت الفكرة إلى الآلة التي هي خط أنابيب التطوير الخاص بهم وتم الكشف عنها”.

يقول نيك نيكيفوراكيس من جامعة ستوني بروك في نيويورك إن مفاتيح واجهة برمجة التطبيقات وبيانات الاعتماد المتسربة تمثل “مشكلة حقيقية في تطوير البرمجيات الحديثة”. “تعمل مفاتيح واجهة برمجة التطبيقات (API) بدلاً من بيانات الاعتماد وتسمح لأي شخص لديه بالعمل كمستخدم معتمد في خدمة معينة.” المشكلة هي أنه في بعض الأحيان يمكن أن يتم تكوينها بشكل خاطئ وينتهي الأمر بمشاركتها علنًا عن غير قصد – مع ما يترتب على ذلك من عواقب كارثية. يقول نيكيفوراكيس: “إن الكشف عن مفتاح API للجمهور عن طريق الخطأ يسمح للمهاجمين الذين يجدونه بإساءة استخدامه”.

يقول دمير إن معالجة المشكلة مسؤولية مشتركة. “يتعين على المطورين بالطبع القيام بذلك [take] يقول: “يهتمون عندما يستخدمون بيانات اعتماد واجهة برمجة التطبيقات هذه، والتأكد من تكوين بيئات التطوير بالطريقة الصحيحة. ويحتاج منشئو أدوات بناء مواقع الويب إلى تصميم برامجهم بحيث يتم إخفاء المفاتيح السرية تلقائيًا بشكل افتراضي، بدلاً من الاعتماد على المطورين لتأمينها يدويًا، ويجب على الشركات التي تستضيف مواقع الويب هذه البحث بنشاط عن المفاتيح المسربة وإلغاء تنشيطها على الفور.