تكشف دراسة حديثة عن وجود آلاف مفاتيح برمجة التطبيق (API) مكشوفة بشكل سري على صفحات الإنترنت العامة، مما يمنح المتسللين وصولاً غير محدود إلى أنظمة حيوية وشديدة الحساسية. الباحثون من جامعات ستانفورد، وUC Davis، وTU Delft أكدوا أن العديد من المواقع الإلكترونية تكشف عن بيانات اعتماد حساسة، مع غياب تام تقريبًا لوسائل الحماية والأمان.
ووفقًا للمسودة الأولى من الدراسة المنشورة على منصة arXiv، قام الباحثون بتحليل خمسة عشر مليون صفحة ويب، وتمكنوا من تحديد أكثر من ١٧٤٨ مفتاحًا صالحًا، متواجدة على نحو عشرة آلاف صفحة تقريبًا. تشمل هذه البيانات اعتمادًا على خدمات سحابية، وأنظمة دفع، وأدوات تطوير تُستخدم في بيئات الإنتاج.
انتشار واسع عبر المواقع العامة
تشير النتائج إلى أن المشكلة لا تقتصر على مواقع إلكترونية غير معروفة فحسب، بل تشمل أيضًا مؤسسات مالية وشركات بنية تحتية هامة. وقال نور الله دمير، طالب الدكتوراه في جامعة ستانفورد، إن المفاتيح التي كشفت عنها الدراسة تشكل خطورة كبيرة، لأنها تتعلق ببيانات اعتماد شديدة الحساسية، وتُترك دون حماية، مما يعكس ضعفًا في أنظمة الأمان وليس مجرد أخطاء فردية.
هذه المفاتيح تعمل كرموز وصول تُتيح للتطبيقات التفاعل مباشرة مع أنظمة خارجية، وتختلف عن بيانات تسجيل الدخول التقليدية، لأنها تسمح بالوصول الآلي والمستمر للخدمات، غالبًا بدون الحاجة لتأكيد إضافي. ويمكن أن يمتد هذا الوصول إلى قواعد البيانات، وأنظمة التخزين، وبنى إدارة المفاتيح، حسب الصلاحيات الممنوحة لكل مفتاح.
وفي مثال على ذلك، وُجدت بيانات اعتماد سحابية خاصة بمؤسسة مالية كبيرة مدمجة في كود الموقع الإلكتروني، مما يعرض خدماتها الداخلية للخطر بشكل مباشر. وفي حالة أخرى، تم العثور على مفاتيح مرتبطة بمستودعات تطوير البرمجيات، مما يفتح الباب أمام تغييرات غير مصرح بها على الكود أو توزيع تحديثات معدلة بشكل ضار.
انتشار المشكلة عبر ملفات الويب
أوضح الباحثون أن معظم بيانات الاعتماد المكشوفة تتعلق بكود جهة العميل، خاصة ملفات جافا سكريبت التي يتم تحميلها من قبل المستخدمين، حيث تمثل حوالي 84% من المفاتيح التي تم تحديدها، وغالبًا ما تأتي من ملفات مجمعة بواسطة أدوات بناء مثل Webpack. هذه الأدوات قد تُدرج عن غير قصد بيانات حساسة عند عدم التحكم الصارم في الإعدادات.
كما وُجدت بعض البيانات في ملفات HTML وJSON، وأخرى في أماكن أقل شيوعًا مثل ملفات CSS، ما يشير إلى أن المشكلة متجذرة في طريقة إعداد ونشر الأصول على الويب، وليست مرتبطة بمرحلة واحدة من التطوير. بالإضافة إلى ذلك، تبين أن العديد من المفاتيح المكشوفة تبقى متاحة لفترات طويلة، من عدة أشهر إلى سنوات، وغالبًا ما يكون المطورون غير واعين بوجودها حتى يتم التواصل معهم من قبل الباحثين.
تأثيرات أمنية واسعة النطاق
عند بدء جهود الكشف، انخفض عدد المفاتيح المكشوفة بنسبة تقارب 50% خلال أسبوعين، لكن الباحثين يحذرون من أن النتائج ربما تمثل الحد الأدنى، حيث تم التحقق من بيانات الاعتماد من مزودين محدودين، مما يترك احتمال وجود أعداد أكبر من المفاتيح المكشوفة على شبكة الإنترنت دون أن يتم اكتشافها بعد.
ويؤكد الخبراء على ضرورة تحسين آليات الرقابة والمراجعة، لضمان عدم تسرب البيانات الحساسة. فهذه الثغرات تُهدد أمن الشركات والبنى التحتية الحيوية، وتُبرز الحاجة الماسة إلى تبني إجراءات أكثر صرامة في إدارة وتأمين مفاتيح الAPI على الويب.