Se você souber onde procurar, muitos segredos podem ser encontrados online. Desde o outono de 2021, o pesquisador de segurança independente Bill Demirkapi vem construindo maneiras de explorar enormes fontes de dados, que muitas vezes são esquecidas pelos pesquisadores, para encontrar massas de problemas de segurança. Isso inclui encontrar automaticamente segredos do desenvolvedor — como senhas, chaves de API e tokens de autenticação — que podem dar aos cibercriminosos acesso aos sistemas da empresa e a capacidade de roubar dados.
Hoje, na conferência de segurança Defcon em Las Vegas, Demircapí está revelando os resultados deste trabalho, detalhando um enorme tesouro de segredos vazados e vulnerabilidades mais amplas de sites. Entre pelo menos 15.000 segredos de desenvolvedores codificados em software, ele encontrou centenas de detalhes de nome de usuário e senha vinculados à Suprema Corte de Nebraska e seus sistemas de TI; os detalhes necessários para acessar os canais do Slack da Universidade de Stanford; e mais de mil chaves de API pertencentes a clientes da OpenAI.
Um grande fabricante de smartphones, clientes de uma empresa de fintech e uma empresa multibilionária de segurança cibernética estão entre as milhares de organizações que inadvertidamente expuseram segredos. Como parte de seus esforços para conter a maré, Demirkapi hackeou uma maneira de revogar automaticamente os detalhes, tornando-os inúteis para qualquer hacker.
Em uma segunda vertente da pesquisa, Demirkapi também examinou fontes de dados para encontrar 66.000 sites com problemas de subdomíniotornando-os vulneráveis a vários ataques, incluindo sequestro. Alguns dos maiores sites do mundo, incluindo um domínio de desenvolvimento de propriedade do The New York Times, tinham as fraquezas.
Embora os dois problemas de segurança que ele analisou sejam bem conhecidos entre os pesquisadores, Demirkapi diz que recorrer a conjuntos de dados não convencionais, que geralmente são reservados para outros propósitos, permitiu que milhares de problemas fossem identificados em massa e, se expandidos, oferece o potencial de ajudar a proteger a web em geral. “O objetivo tem sido encontrar maneiras de descobrir classes de vulnerabilidade triviais em escala”, Demirkapi diz à WIRED. “Acho que há uma lacuna para soluções criativas.”
Segredos vazados; Sites vulneráveis
É relativamente trivial para um desenvolvedor incluir acidentalmente os segredos de sua empresa em software ou código. Alon Schindel, vice-presidente de IA e pesquisa de ameaças na empresa de segurança em nuvem Wiz, diz que há uma enorme variedade de segredos que os desenvolvedores podem inadvertidamente codificar, ou expor, ao longo do pipeline de desenvolvimento de software. Isso pode incluir senhas, chaves de criptografia, tokens de acesso de API, segredos de provedores de nuvem e certificados TLS.
“O risco mais grave de deixar segredos codificados é que, se as credenciais e os segredos de autenticação digital forem expostos, eles podem conceder aos adversários acesso não autorizado às bases de código, bancos de dados e outras infraestruturas digitais confidenciais de uma empresa”, diz Schindel.
Os riscos são altos: segredos expostos podem resultar em violações de dados, hackers invadindo redes e ataques à cadeia de suprimentos, acrescenta Schindel. Anterior pesquisa em 2019 descobriu que milhares de segredos estavam sendo vazados no GitHub todos os dias. E enquanto existem várias ferramentas secretas de digitalizaçãoeles são amplamente focados em alvos específicos e não na web em geral, diz Demirkapi.
Durante sua pesquisa, Demirkapi, que primeiro encontrou destaque por suas façanhas de hacking escolar na adolescência há cinco anos, caçou essas chaves secretas em escala — em vez de selecionar uma empresa e procurar especificamente por seus segredos. Para fazer isso, ele recorreu ao VirusTotal, o site de propriedade do Google, que permite que os desenvolvedores carreguem arquivos — como aplicativos — e os escaneiem em busca de malware em potencial.