Aggiornamenti recenti Dicembre 3rd, 2024 9:00 AM
Gen 31, 2024 Marina Londei Approfondimenti, News, RSS 0
Sul web ci sono più di 18.000 API secret esposti in 1 milione di domini: è il bilancio condiviso dai ricercatori di Escape ed esposto nel loro ultimo report, State of API Security 2024.
Lo studio si concentra in particolare sul problema dell’ “API sprawl”, ovvero la proliferazione di API nelle organizzazioni e i conseguenti rischi di sicurezza per le applicazioni. L’API sprawl è diventata una sfida notevole, soprattutto nei progetti open-source, poiché comporta anche l’esposizione dei cosiddetti “secret”, i dati sensibili legati alle API.
Nella maggior parte dei casi gli sviluppatori non si rendono conto di star esponendo i secret, sia per mancanza di conoscenza che per l’assenza di best practice di sviluppo. Il risultato è che persone non autorizzate possono sfruttare i secret per accedere ai sistemi e sferrare ulteriori attacchi.
I ricercatori di Escape hanno utilizzato un web spider custom per effettuare la scansione di 1 milione di domini. Il crawler, scritto in Golang, sfrutta la libreria fasthttp per gestire un grande volume di richieste e tree-sitter, un tool per interpretare e analizzare velocemente il codice JavaScript delle pagine web.
Il team ha selezionato i domini più popolari attingendo da Majestic Million, un database che elenca il milione di siti web più visitati, ed eliminando tutti i domini governativi, del mondo dell’educazione e della sanità per rispettare le norme etica del web crawling e della collezione di dati.
Dei più di 18.000 API secret individuati, 7.737 sono stati classificati come “molto critici”. La maggior parte dei secret esposti erano chiavi private di API (26,3%), seguiti da token di refresh di GitHub (26%) e token di accesso di GitHub (25,5%). Quasi un decimo del totale (9,5%) erano webhooks di Slack, una delle applicazioni di messaggistica più usate nelle organizzazioni.
La portata dell’esposizione dei secret è significativa: i ricercatori specificano che, pur rappresentando una percentuale minima del totale (0,9%), i token di Stripe individuati permetterebbero a un attaccante di rubare fino a 17 milioni di dollari, usandone soltanto uno.
In media per ogni dominio sono stati trovati 1,7 secret esposti, e 409 domini superano notevolmente la media. Il dominio col maggior numero di secret esposti ne conta ben 28 e si tratta di una compagnia di gaming statunitense. I settori dei media, del gaming e del tech sono quelli che contano le percentuali maggiori di API secret esposti.
I rischi principali sono legati a un’errata gestione del codice Javascript: molti sviluppatori decidono di compilare tutto il codice, compresi file di setup con dati sensibili in un singolo file, anche se questo approccio espone i secret e li rende utilizzabili dagli attaccanti; nel dettaglio, il 35% dei secret individuati si trovava nei file JavaScript.
“Il nostro studio rivela che la proliferazione dei segreti delle API si estende su una vasta gamma di siti web, industrie e domini. Anche le moderne industrie tech non sono immuni al problema” affermano i ricercatori di Escape. “Le organizzazioni devono rispondere velocemente, adottando le best practice per proteggersi dalle minacce”.
Anche se la ricerca di Escape si è limitata ad analizzare 1 milione di domini su più di 365 milioni, i risultati sono comunque significativi e dimostrano che la problematica è diffusa tra i siti web più conosciuti e visitati.
Per ridurre il rischio di esporre gli API secret, il team di Escape consiglia di centralizzare la gestione dei token per migliorare il monitoraggio e identificare più velocemente le potenziali vulnerabilità.
Le organizzazioni dovrebbero ruotare i token regolarmente, riducendo gli impatti in caso di compromissione, e assegnare la gestione dei token a specifici team, assicurandosi che solo il personale dedicato abbia accesso ai secret.
Va inoltre definito un processo di revoca dei token nel caso di compromissione ed è necessario limitare l’accesso al singolo token garantendo solo i permessi necessari. Infine, è fondamentale educare i team sull’importanza della sicurezza dei token e condividere con loro le best practice per mantenere al sicuro i sistemi.
Mag 28, 2024 0
Mag 23, 2024 0
Apr 25, 2024 0
Gen 05, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Dic 02, 2024 0
Nov 28, 2024 0
Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...Nov 28, 2024 0
Zscaler ha annunciato la sua soluzione di segmentazione...