พบช่องโหว่ใหญ่บนเว็บไซต์ทั่วโลก! กุญแจ API รั่ว เสี่ยงข้อมูลผู้ใช้นับล้านหลุด

นักวิจัยพบช่องโหว่การรั่วไหลของกุญแจ API ของหลายเว็บบนอินเทอร์เน็ต ที่อาจทำให้ข้อมูลส่วนตัวและข้อมูลทางการเงินของผู้คนนับล้านตกอยู่ในความเสี่ยง

นักวิจัยจากมหาวิทยาลัยสแตนฟอร์ดได้วิเคราะห์เว็บไซต์กว่า 10 ล้านแห่ง เพื่อสำรวจการรั่วไหลของ “API credentials” หรือกุญแจดิจิทัลที่ใช้ให้ระบบต่าง ๆ สื่อสารกัน เช่น ระบบชำระเงินและคลาวด์

ทีมวิจัยไม่ใช่แค่ดูโค้ดเฉย ๆ แต่ใช้ฐานข้อมูล HTTP Archive เพื่อตรวจสอบการทำงานของเว็บไซต์จริงในขณะใช้งาน ทำให้สามารถตรวจพบกุญแจ API ที่โผล่ขึ้นมาเฉพาะตอนหน้าเว็บโหลด ซึ่งเป็นช่องทางที่การสแกนแบบเดิมมักมองไม่เห็น

ผลคือ พบข้อมูลประจำตัว API ที่ใช้งานได้จริงถึง 1,748 รายการ จากผู้ให้บริการรายใหญ่ เช่น AWS, Stripe และ OpenAI โดยกุญแจเหล่านี้ถูกฝังอยู่ในโค้ดหน้าเว็บและเปิดให้เข้าถึงได้สาธารณะ นั่นหมายความว่าใครก็ตามที่พบและรู้วิธีใช้ อาจเข้าถึงระบบสำคัญ เช่น เซิร์ฟเวอร์คลาวด์ บัญชีการเงิน หรือฐานข้อมูลลูกค้า ได้โดยไม่ต้องใช้รหัสผ่าน

ที่น่ากังวลคือ บางเคสนั้นพบว่าข้อมูลเหล่านี้ถูกเปิดเผยนานถึง 12 เดือน หรือแม้กระทั่งหลายปีโดยไม่มีใครรู้ และกว่า 84% ของการรั่วไหลเกิดในไฟล์ JavaScript ซึ่งเป็นโค้ดหลักที่ควบคุมการทำงานของเว็บไซต์

นักวิจัยชี้ว่า ปัญหาไม่ได้มาจากผู้ให้บริการแพลตฟอร์ม แต่เกิดจากนักพัฒนาและผู้ดูแลเว็บไซต์ที่เผลอนำข้อมูลลับใส่ไว้ในโค้ดเวอร์ชันที่เผยแพร่จริง โดยเฉพาะในขั้นตอน build หรือ deploy เว็บไซต์

หลังจากแจ้งเตือนองค์กรที่ได้รับผลกระทบ พบว่าภายใน 2 สัปดาห์ มีการลบหรือปิดการใช้งานกุญแจที่รั่วไหลไปแล้วประมาณ 50% ส่วนแนวทางป้องกันในอนาคต นักวิจัยแนะนำว่า ควรสแกน “เว็บไซต์ที่ใช้งานจริง” ไม่ใช่แค่โค้ดต้นฉบับ ตั้งกฎเข้มงวดสำหรับเครื่องมือ build หรือระบบอัตโนมัติ รวมถึงพัฒนาระบบแจ้งเตือนทันทีเมื่อพบข้อมูลลับบนหน้าเว็บสาธารณะ

ที่มา techxplore

หนุ่ย แซ่แต้

นักเขียนสาย Introvert ที่ชื่นชอบเรื่องนวัตกรรมและความคิดสร้างสรรค์ ใช้เวลาว่างกับ มังงะ, เสียงเพลงและ idol