Miles de tokens de API expuestos públicamente, podrían amenazar la integridad del software

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Se han detectado miles de tokens de interfaz de programación de aplicaciones (API) activos y expuestos públicamente en la web que podrían amenazar la integridad del software y permitir a los malos actores acceder a información confidencial, datos o redes privadas.

Los hallazgos provienen de los investigadores de seguridad de JFrog, que recientemente hicieron el descubrimiento mientras probaban una nueva función en una de las soluciones de seguridad de la empresa.

El equipo habría escaneado más de ocho millones de artefactos en los registros de software de código abierto más comunes, incluyendo npm, PyPI, RubyGems, crates.io y DockerHub, para encontrar y verificar tokens de API filtrados.

En el caso de los paquetes npm y PyPI, el escaneo también incluyó múltiples versiones del mismo paquete para tratar de encontrar tokens que alguna vez estuvieron disponibles pero que fueron retirados posteriormente.

Los resultados del escaneo mostraron que los tokens de API de Amazon Web Services (AWS), Google Cloud Platform (GCP) y Telegram fueron los más filtrados. Al mismo tiempo, las cifras mostraron que los desarrolladores de Amazon revocaron el 53% de todos los tokens inactivos, mientras que GCP sólo revocó el 27%.

En cuanto a los secretos revelados, JFrog mencionó que la lista incluía claves de API en texto plano, credenciales, certificados caducados y contraseñas.

Se puede encontrar más información sobre los tokens de API expuestos por JFrog en el sitio web de la empresa. El informe técnico llega meses después de que CloudSEK descubriera que más de 3.200 aplicaciones móviles estaban filtrando las claves API de Twitter.

Para obtener más información sobre cómo asegurar las aplicaciones contra los ataques a la API, puede ver este reciente seminario web impartido por Jonathan Care de Lionfish Tech Advisors.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *