JavaScript-fouten maken web tot goudmijn voor API-sleutelzoekers
Ontwikkelaars laten op grote schaal digitale 'sleutels' slingeren op het publieke internet. Uit nieuw onderzoek van onder meer Stanford University en de TU Delft blijkt dat gevoelige API-credentials, die toegang geven tot cloud- en betalingsdiensten, voor het oprapen liggen op tienduizenden webpagina’s. Zelfs de websites van wereldwijde banken en hardware-ontwikkelaars blijken lek.
Application Programming Interfaces (API’s) zijn de onzichtbare lijm van het moderne internet; ze laten apps communiceren met diensten van derden, zoals betalingsverwerkers of cloudproviders. Om deze communicatie veilig te laten verlopen, zijn geheime tokens of sleutels nodig. Wanneer deze sleutels uitlekken, kunnen kwaadwillenden direct toegang krijgen tot de gekoppelde accounts, met potentieel rampzalige financiële of infrastructurele gevolgen.
Gevonden op 10.000 pagina's
Hoewel eerdere onderzoeken al wezen op datalekken via platformen als GitHub, bleef het brede web tot nu toe grotendeels onontgonnen gebied. De onderzoekers analyseerden 10 miljoen webpagina's en de resultaten zijn onthutsend. Ze identificeerden 1.748 unieke credentials van 14 verschillende dienstverleners, verspreid over bijna 10.000 webpagina's.
De ernst van de blootstelling varieert, maar de namen op de lijst van getroffen partijen zijn ronkend: van grote internationale banken tot ontwikkelaars van kritieke firmware. "API-sleutels liggen letterlijk als sleutels op de deurmat," aldus het onderzoeksteam. Uit gearchiveerde data blijkt bovendien dat deze gegevens vaak maanden tot zelfs jarenlang publiek toegankelijk blijven voordat ze worden opgemerkt of ingetrokken.
De rol van JavaScript
De onderzoekers wijzen JavaScript aan als de voornaamste boosdoener. Veel van de blootgestelde sleutels bevinden zich in de code die direct in de browser van de gebruiker wordt uitgevoerd. Vaak gaat het om programmeerfouten waarbij geheime tokens per ongeluk in de 'front-end' van een website belanden, in plaats van veilig opgeslagen te blijven op een afgeschermde server.
Verantwoordelijkheid en herstel
Het onderzoeksteam beperkte zich niet tot het signaleren van het probleem. Via een proces van responsible disclosure werden de getroffen organisaties en serviceproviders op de hoogte gesteld. Deze inspanningen wierpen vruchten af: na de meldingen was er een aanzienlijke afname te zien in het aantal publiekelijk vindbare tokens.
Toch waarschuwen de experts dat de cultuur rondom API-beveiliging fundamenteel moet veranderen. Zolang ontwikkelaars credentials blijven behandelen als wegwerpartikelen in hun code, blijft het web een goudmijn voor hackers die op zoek zijn naar een gemakkelijke ingang tot de digitale kern van organisaties.
Meer over Security
Over Witold Kepinski
