الآلاف من مفاتيح API المكشوفة تتيح الوصول إلى أنظمة حساسة بشكل سري وتقع على صفحات ويب عامة

هل تعلم أن آلاف مفاتيح API الحساسة تُترك بشكل سري على صفحات ويب عامة، مما يمنح المهاجمين فرصة للوصول إلى خدمات سحابية ودفعات مالية بشكل غير مرخص؟ دراسة حديثة كشفت أن مطورين لا يدرون يتركون رموز وصول سرية مدمجة في مواقعهم الحية، مما يعرض أنظمتهم للخطر بشكل كبير.

كشف الدراسة: أكثر من 1700 بيانات اعتماد مكشوفة على 10 آلاف صفحة ويب

أجرى باحثون من جامعة ستانفورد، UC Davis، ومعهد Delft التقني دراسة استباقية على 10 ملايين صفحة ويب، ونجحوا في تحديد 1,748 من بيانات الاعتماد الصالحة المكشوفة، على ما يقرب من 10,000 صفحة.

هذه البيانات تتعلق بمنصات سحابية، وخدمات دفع، وأدوات مطورين تُستخدم في بيئات الإنتاج.

مخاطر أمنية جسيمة تترتب على التسربات

تشير النتائج إلى أن التسريبات تشمل مواقع إلكترونية شهيرة وأخرى أقل شهرة، بما في ذلك مؤسسات مالية وخدمات البنية التحتية. قال نور الله دمير، مرشح دكتوراه في ستانفورد،:
“ما وجدناه هو مفاتيح API حساسة جدًا تُترك مكشوفة على صفحات الويب، مما يعكس ضعف التحكم وليس مجرد أخطاء عابرة.”

كيف تُستخدم مفاتيح API المكشوفة؟

تمكن مفاتيح API التطبيقات من التفاعل المباشر مع أنظمة خارجية، وتختلف عن بيانات تسجيل الدخول التقليدية لأنها تتيح الوصول الآلي والمستمر إلى الخدمات، غالبًا بدون الحاجة لطبقات تحقق إضافية.
يمكن أن تصل صلاحيات هذه المفاتيح إلى قواعد البيانات، وأنظمة التخزين، وبنى إدارة المفاتيح، بناءً على الأذونات المرفقة بكل مفتاح.

أمثلة على التسريبات

• في إحدى الحالات، وُجدت مفاتيح سحابية مرتبطة بمؤسسة مالية كبرى مدمجة في كود الموقع، مما أدى إلى تعرضها مباشرة للخطر.
• في حالة أخرى، تم اكتشاف مفاتيح مخزنة في مستودعات برمجية مرتبطة بتطوير البرامج الثابتة، مما يهدد بإجراء تغييرات غير مخولة على البرمجيات وتوزيع تحديثات معدلة.

مصدر التسريبات: كود العميل والملفات المجمعة

تُعزى معظم حالات التسريب إلى الكود الموجه للعميل، خاصة ملفات جافا سكريبت التي تُرسل إلى متصفحات المستخدمين.
حوالي 84% من البيانات المكشوفة وُجدت في ملفات جافا سكريبت، وغالبًا ما تكون من ملفات مدمجة تُنشأ بواسطة أدوات بناء مثل Webpack، والتي قد تتضمن بيانات حساسة إذا لم تكن مضبوطة بشكل صارم.

كما وُجدت تسريبات في ملفات HTML وJSON، وبعضها في تنسيقات أقل شيوعًا مثل CSS.
يشير هذا إلى أن المشكلة تتعلق بطريقة إعداد ونشر الأصول الإلكترونية، وليس مرحلة تطوير واحدة فقط.

مدة التسريبات وتأثيرها على الأمن

وجد الباحثون أن المفاتيح المكشوفة غالبًا تظل متاحة لفترات طويلة، تتراوح بين عدة أشهر إلى سنوات.
غالبًا ما يكون المطورون غير مدركين للمشكلة حتى يتم التواصل معهم، مما يدل على وجود فجوات في عمليات المراقبة والمراجعة.

بعد بدء جهود الكشف، انخفض عدد المفاتيح المكشوفة بنسبة تقارب 50% خلال أسبوعين.
لكن، الباحثون يحذرون من أن نتائجهم تمثل الحد الأدنى، إذ أنهم تحققوا من بيانات اعتماد من مزودين خدمات محددين، مما يترك احتمال وجود عدد أكبر من المفاتيح المفتوحة على الإنترنت دون اكتشاف.

خلاصة وتوصيات

تسلط الدراسة الضوء على ضرورة تعزيز إجراءات الأمان والتحكم في إدارة المفاتيح API، وتوعية المطورين بخطورة ترك البيانات الحساسة مكشوفة.
كما تؤكد على أهمية المراجعة المستمرة والكشف المبكر عن التسريبات قبل أن تتسبب في أضرار كبيرة.

اتبع TechRadar على Google News وكن على اطلاع دائم بأهم الأخبار والتقارير والتحليلات التقنية. اضغط على زر “متابعة” لتكون أول من يحصل على تحديثاتنا.
ويمكنك أيضًا متابعة TechRadar على TikTok لمشاهدة الأخبار والمراجعات والفيديوهات التفاعلية، بالإضافة إلى تحديثاتنا المنتظمة عبر WhatsApp.