بعد تحليل 10 ملايين صفحة ويب، وجد الباحثون أن آلاف مواقع الويب تكشف عن طريق الخطأ بيانات اعتماد API الحساسة، بما في ذلك المفاتيح المرتبطة بالخدمات الرئيسية مثل Amazon Web Services وStripe وOpenAI.
هذه مشكلة خطيرة لأن واجهات برمجة التطبيقات (APIs) تعمل بمثابة العمود الفقري للتطبيقات التي نستخدمها اليوم. فهي تسمح لمواقع الويب بالاتصال بخدمات مثل المدفوعات والتخزين السحابي وأدوات الذكاء الاصطناعي، ولكنها تعتمد على المفاتيح الرقمية للبقاء آمنًا. بمجرد كشفها، يمكن لمفاتيح واجهة برمجة التطبيقات (API) أن تسمح لأي شخص بالتفاعل مع تلك الخدمات بقصد ضار.
مفاتيح واجهة برمجة التطبيقات الحساسة مكشوفة عبر آلاف المواقع
وفقًا لـ TechXplore، حدد الباحثون 1,748 بيانات اعتماد API فريدة عبر ما يقرب من 10,000 صفحة ويب، مرتبطة بـ 14 من مقدمي الخدمات الرئيسيين. ولم تقتصر هذه التسريبات على المواقع الغامضة، بل ظهر بعضها على منصات تديرها بنوك عالمية ومطورو برمجيات كبار.
حوالي 84% من هذه التسريبات جاءت من ملفات جافا سكريبت، والتي يمكن الوصول إليها بسهولة من خلال المتصفح. وهذا يعني أن بيانات الاعتماد كانت موجودة فعليًا في رمز مرئي للعامة.
والأمر الأكثر إثارة للقلق هو المدة التي ظلت فيها هذه المفاتيح مكشوفة. وظل بعضها مرئيًا لمدة تصل إلى 12 شهرًا، في حين أظهرت بعض الحالات النادرة أن أوراق الاعتماد ظلت علنية لعدة سنوات دون اكتشافها.
إذن ما سبب هذه التسريبات؟
توضح الدراسة أن المشكلة لا تكمن في مقدمي الخدمات مثل Amazon أو Stripe أو OpenAI. وبدلاً من ذلك، تنبع المشكلة من كيفية تعامل المطورين مع مفاتيح واجهة برمجة التطبيقات (API).
في كثير من الحالات، يقوم المطورون عن طريق الخطأ بتضمين بيانات اعتماد واجهة برمجة التطبيقات الخاصة في كود الواجهة الأمامية لموقع الويب، مما يجعلها مرئية لأي شخص يعرف مكان البحث.
كيف نمنع كشف مفاتيح API؟
ولمنع التسريبات المستقبلية، يقترح الباحثون بعض الخطوات العملية. يجب على المطورين فحص النسخة المباشرة من مواقعهم الإلكترونية، وليس فقط التعليمات البرمجية الخاصة، لالتقاط المفاتيح المكشوفة.
مع ظهور تقنية vibecoding، تحتاج الشركات إلى قواعد أكثر صرامة لأدوات إنشاء مواقع الويب الآلية التي تتعامل مع البيانات الحساسة أثناء النشر. ولهذا السبب أيضًا بدأت منصات مثل Lovable في إضافة أدوات تصفح آمنة لحماية المستخدمين من مواقع الويب سيئة التشفير.
وفي الوقت نفسه، يحتاج مقدمو الخدمات إلى تحسين أنظمة الكشف لتحديد المفاتيح المكشوفة لحظة ظهورها على الإنترنت. وعلى الرغم من أن الكشف المسؤول ساعد في الحد من بعض هذه التسريبات، إلا أن حجم المشكلة لا يزال كبيرًا.
وأظهرت التقارير الأخيرة أيضًا كيف يمكن أن يؤدي مجرد زيارة موقع ويب إلى تعريض جهازك لمخاطر جسيمة، مما يسلط الضوء على مدى هشاشة أمان الويب بالنسبة لمستخدمي الإنترنت العاديين.