Trovati più di 18.000 API secret esposti sul web

Gen 31, 2024 Approfondimenti, News, RSS

Sul web ci sono più di 18.000 API secret esposti in 1 milione di domini: è il bilancio condiviso dai ricercatori di Escape ed esposto nel loro ultimo report, State of API Security 2024.

Lo studio si concentra in particolare sul problema dell’ “API sprawl”, ovvero la proliferazione di API nelle organizzazioni e i conseguenti rischi di sicurezza per le applicazioni. L’API sprawl è diventata una sfida notevole, soprattutto nei progetti open-source, poiché comporta anche l’esposizione dei cosiddetti “secret”, i dati sensibili legati alle API.

Nella maggior parte dei casi gli sviluppatori non si rendono conto di star esponendo i secret, sia per mancanza di conoscenza che per l’assenza di best practice di sviluppo. Il risultato è che persone non autorizzate possono sfruttare i secret per accedere ai sistemi e sferrare ulteriori attacchi.

L’analisi di Escape

I ricercatori di Escape hanno utilizzato un web spider custom per effettuare la scansione di 1 milione di domini. Il crawler, scritto in Golang, sfrutta la libreria fasthttp per gestire un grande volume di richieste e tree-sitter, un tool per interpretare e analizzare velocemente il codice JavaScript delle pagine web.

Il team ha selezionato i domini più popolari attingendo da Majestic Million, un database che elenca il milione di siti web più visitati, ed eliminando tutti i domini governativi, del mondo dell’educazione e della sanità per rispettare le norme etica del web crawling e della collezione di dati.

Dei più di 18.000 API secret individuati, 7.737 sono stati classificati come “molto critici”. La maggior parte dei secret esposti erano chiavi private di API (26,3%), seguiti da token di refresh di GitHub (26%) e token di accesso di GitHub (25,5%). Quasi un decimo del totale (9,5%) erano webhooks di Slack, una delle applicazioni di messaggistica più usate nelle organizzazioni.

La portata dell’esposizione dei secret è significativa: i ricercatori specificano che, pur rappresentando una percentuale minima del totale (0,9%), i token di Stripe individuati permetterebbero a un attaccante di rubare fino a 17 milioni di dollari, usandone soltanto uno.

In media per ogni dominio sono stati trovati 1,7 secret esposti, e 409 domini superano notevolmente la media. Il dominio col maggior numero di secret esposti ne conta ben 28 e si tratta di una compagnia di gaming statunitense. I settori dei media, del gaming e del tech sono quelli che contano le percentuali maggiori di API secret esposti.

I rischi principali sono legati a un’errata gestione del codice Javascript: molti sviluppatori decidono di compilare tutto il codice, compresi file di setup con dati sensibili in un singolo file, anche se questo approccio espone i secret e li rende utilizzabili dagli attaccanti; nel dettaglio, il 35% dei secret individuati si trovava nei file JavaScript. 

“Il nostro studio rivela che la proliferazione dei segreti delle API si estende su una vasta gamma di siti web, industrie e domini. Anche le moderne industrie tech non sono immuni al problema” affermano i ricercatori di Escape. “Le organizzazioni devono rispondere velocemente, adottando le best practice per proteggersi dalle minacce”.

Mitigare il rischio di esposizione degli API secret

Anche se la ricerca di Escape si è limitata ad analizzare 1 milione di domini su più di 365 milioni, i risultati sono comunque significativi e dimostrano che la problematica è diffusa tra i siti web più conosciuti e visitati.

Per ridurre il rischio di esporre gli API secret, il team di Escape consiglia di centralizzare la gestione dei token per migliorare il monitoraggio e identificare più velocemente le potenziali vulnerabilità.

Le organizzazioni dovrebbero ruotare i token regolarmente, riducendo gli impatti in caso di compromissione, e assegnare la gestione dei token a specifici team, assicurandosi che solo il personale dedicato abbia accesso ai secret.

Va inoltre definito un processo di revoca dei token nel caso di compromissione ed è necessario limitare l’accesso al singolo token garantendo solo i permessi necessari. Infine, è fondamentale educare i team sull’importanza della sicurezza dei token e condividere con loro le best practice per mantenere al sicuro i sistemi.

• API, API secret, API sprawl, JavaScript, token