【安全资讯】安全研究人员发现大量API密钥暴露于公共网页

概要：

在当今数字化服务深度集成的时代，API密钥作为应用程序访问第三方服务的“数字钥匙”，其安全性至关重要。然而，一项最新的安全研究揭示了一个令人担忧的普遍现象：大量高度敏感的API密钥被意外地暴露在公共网页上，为攻击者敞开了通往企业核心基础设施的大门。

主要内容：

斯坦福大学等机构的研究人员对约1000万个网站进行了动态分析，发现了近2000个有效的API凭证散落在超过1万个网页中。这些凭证属于包括跨国企业、关键基础设施实体和政府机构在内的各类组织，能够直接访问AWS、GitHub、Stripe和OpenAI等关键云平台和支付服务。

暴露的凭证主要存在于JavaScript资源文件中，占比高达84%，其次是HTML和JSON文件。值得注意的是，超过六成的JavaScript凭证暴露源于Webpack等构建工具生成的代码包中，这凸显了现代Web开发流程中可能引入的安全盲点。攻击者一旦获取这些密钥，即可获得对数据库、密钥管理系统等核心云服务的程序化访问权限，风险远高于普通登录凭证泄露。

研究团队特别指出，一家被列为“全球系统重要性金融机构”的银行将其云凭证直接暴露在网页上。此外，他们还发现了一家为无人机和遥控设备提供固件的开发商的仓库凭证，攻击者可借此修改源代码并向大量设备推送恶意固件更新。历史分析显示，这些凭证平均会暴露长达12个月，有些甚至长达数年。

在研究人员开始向受影响组织报告其发现后，暴露的凭证数量在大约两周内减少了一半。然而，许多开发者对此类暴露完全不知情。由于本研究仅验证了14家服务提供商的凭证，实际暴露在互联网上的API密钥数量可能远高于此，这为全球网络安全敲响了警钟。