Tysiące stron udostępnia poufne dane. Od finansów po dostęp do chmury
Nie trzeba hakera, by wyciekały dane. Wystarczy błąd w kodzie. Naukowcy odkryli, że tysiące stron internetowych przypadkowo ujawnia poufne klucze dostępu, które mogą otworzyć drzwi do kont bankowych, serwerów i baz danych klientów. Problem jest powszechny i przez lata pozostawał niezauważony.
Tym razem to nie jest historia o hakerach łamiących zabezpieczenia. Ale może ostrzeżenie o czymś znacznie bardziej niebezpiecznym - mowa o szeroko otwartych drzwiach. Naukowcy przeanalizowali 10 milionów stron internetowych i odkryli, że tysiące z nich nieświadomie udostępnia poufne dane - od informacji finansowych po dostęp do serwerów w chmurze.
Badanie opublikowane w serwisie arXiv przez zespół kierowany przez dra Nurullaha Demira z Uniwersytetu Stanforda pokazuje skalę problemu, który "ukrywa się na widoku". Chodzi o tzw. klucze API, czyli cyfrowe identyfikatory pozwalające różnym systemom komunikować się ze sobą. To one obsługują płatności, logowanie czy przechowywanie danych.
Ukryte klucze w kodzie stron
Badacze wykorzystali bazę HTTP Archive, analizując działające wersje stron - nie ich kod źródłowy, lecz to, co faktycznie trafia do przeglądarki użytkownika. To ważne rozróżnienie. Właśnie tam znaleziono 1748 aktywnych kluczy API, dostępnych publicznie.
W praktyce oznacza to, że osoba z odpowiednią wiedzą mogłaby uzyskać dostęp do kont firmowych, baz danych klientów czy systemów płatności - bez hasła. Co więcej, niektóre z tych kluczy pozostawały widoczne nawet przez rok, a w skrajnych przypadkach przez kilka lat.
Aż 84 proc. wycieków znaleziono w plikach JavaScript, czyli skryptach odpowiadających za działanie strony "w tle".
Błąd nie leży tam, gdzie myślisz
Co istotne, winne nie są firmy technologiczne dostarczające usługi. Problem pojawia się wcześniej - na etapie tworzenia stron.
- Nasze wyniki pokazują, że zdecydowana większość wycieków powstaje w procesie budowania strony i ujawnia się wyłącznie w działających wersjach produkcyjnych (np. w pakietach JavaScript), co sprawia, że stosowane wcześniej metody skanowania kodu są w praktyce niewystarczające dla internetu - wyjaśniają autorzy badania.
Innymi słowy - programiści przypadkowo publikują poufne dane razem ze stroną.
Po poinformowaniu firm o problemie połowa ujawnionych kluczy została usunięta w ciągu dwóch tygodni. To pokazuje, że zagrożenie jest realne, ale możliwe do opanowania.
Jak uniknąć podobnych wycieków?
Naukowcy wskazują proste rozwiązania: sprawdzanie działających stron, a nie tylko kodu, oraz lepszą kontrolę nad automatycznymi narzędziami do ich tworzenia. Równie ważna jest szybka reakcja dostawców usług - systemy powinny natychmiast ostrzegać, gdy tajny klucz pojawi się publicznie.
I nie, nie usłyszycie o tym szerzej, bo to nie jest spektakularny cyberatak, który trafia na nagłówki. To cichy błąd, powielany na tysiącach stron. I właśnie dlatego tak trudny do zauważenia. Ale być może dotyczy też twojej strony.
Źródło: techxplore.com
Publikacja: Nurullah Demir et al, Keys on Doormats: Exposed API Credentials on the Web, arXiv (2026). DOI: 10.48550/arxiv.2603.12498
