Um erro de programação simples é expor chaves de API em milhares de sites.
Após analisar 10 milhões de páginas da web, pesquisadores descobriram milhares de sites que expõem acidentalmente credenciais de API confidenciais, incluindo chaves vinculadas a serviços importantes como Amazon Web Services, Stripe e OpenAI.
Este é um problema sério porque as APIs funcionam como a espinha dorsal dos aplicativos que usamos hoje. Elas permitem que sites se conectem a serviços como pagamentos, armazenamento em nuvem e ferramentas de IA, mas dependem de chaves digitais para se manterem seguras. Uma vez expostas, as chaves de API podem permitir que qualquer pessoa interaja com esses serviços com intenções maliciosas.
Chaves de API confidenciais expostas em milhares de sites.
Segundo a TechXplore , os pesquisadores identificaram 1.748 credenciais de API exclusivas em quase 10.000 páginas da web, vinculadas a 14 grandes provedores de serviços. Esses vazamentos não se limitaram a sites obscuros, tendo alguns aparecido em plataformas administradas por bancos globais e grandes desenvolvedores de software.
Aproximadamente 84% desses vazamentos vieram de arquivos JavaScript, que são facilmente acessíveis por meio de um navegador. Isso significa que as credenciais estavam efetivamente armazenadas em código publicamente visível.
Mais preocupante ainda é o tempo que essas chaves permaneceram expostas. Algumas ficaram visíveis por até 12 meses, enquanto em alguns casos raros, as credenciais permaneceram públicas por vários anos sem serem detectadas.
Então, o que está causando esses vazamentos?
O estudo deixa claro que o problema não reside nos provedores de serviços como Amazon, Stripe ou OpenAI. Em vez disso, a questão decorre da forma como os desenvolvedores lidam com as chaves de API.
Em muitos casos, os desenvolvedores incluem acidentalmente credenciais de API privadas no código front-end de um site, deixando-as visíveis para qualquer pessoa que saiba onde procurar.
Como impedir que as chaves de API sejam expostas?
Para evitar vazamentos futuros, os pesquisadores sugerem algumas medidas práticas. Os desenvolvedores devem analisar a versão online de seus sites, e não apenas o código privado, para detectar chaves expostas.
Com o aumento do uso de vibecoding , as empresas precisam de regras mais rígidas para ferramentas automatizadas de criação de sites que lidam com dados sensíveis durante a implantação. É por isso que plataformas como a Lovable começaram a adicionar ferramentas de navegação segura para proteger os usuários de sites com vibecoding inadequado.
Entretanto, os provedores de serviços precisam aprimorar seus sistemas de detecção para sinalizar chaves expostas assim que elas aparecerem online. Embora a divulgação responsável tenha ajudado a reduzir alguns desses vazamentos, a dimensão do problema continua significativa.
Relatórios recentes também mostraram como uma simples visita a um site pode expor seu dispositivo a sérios riscos, evidenciando a fragilidade da segurança na web para usuários comuns da internet.
