Si sabes dónde buscar, puedes encontrar muchos secretos en Internet. Desde el otoño de 2021, el investigador de seguridad independiente Bill Demirkapi ha estado desarrollando formas de acceder a enormes fuentes de datos, que los investigadores suelen pasar por alto, para encontrar una gran cantidad de problemas de seguridad. Esto incluye la búsqueda automática de secretos de desarrolladores (como contraseñas, claves API y tokens de autenticación) que podrían dar a los ciberdelincuentes acceso a los sistemas de la empresa y la capacidad de robar datos.
Hoy, en la conferencia de seguridad Defcon en Las Vegas, Demirkapi está revelando los resultados de este trabajo, detallando una enorme cantidad de secretos filtrados y vulnerabilidades más amplias de sitios web. Entre al menos 15.000 secretos de desarrolladores codificados en software, encontró cientos de detalles de nombres de usuario y contraseñas vinculados a la Corte Suprema de Nebraska y sus sistemas de TI; los detalles necesarios para acceder a los canales Slack de la Universidad de Stanford; y más de mil claves API pertenecientes a clientes de OpenAI.
Entre las miles de organizaciones que expusieron secretos sin darse cuenta se cuentan un importante fabricante de teléfonos inteligentes, clientes de una empresa de tecnología financiera y una empresa de ciberseguridad multimillonaria. Como parte de sus esfuerzos por detener la marea, Demirkapi ideó una forma de revocar automáticamente los datos, haciéndolos inútiles para cualquier pirata informático.
En una segunda línea de investigación, Demirkapi también escaneó fuentes de datos para encontrar 66.000 sitios web con problemas de seguridad. problemas de subdominiolo que los hacía vulnerables a diversos ataques, incluido el secuestro. Algunos de los sitios web más importantes del mundo, incluido un dominio de desarrollo propiedad de The New York Times, tenían vulnerabilidades.
Si bien los dos problemas de seguridad que analizó son bien conocidos entre los investigadores, Demirkapi dice que recurrir a conjuntos de datos no convencionales, que generalmente se reservan para otros fines, permitió identificar miles de problemas en masa y, si se amplían, ofrecen el potencial de ayudar a proteger la web en general. “El objetivo ha sido encontrar formas de descubrir clases de vulnerabilidad triviales a gran escala”, le dice Demirkapi a WIRED. “Creo que hay un vacío para las soluciones creativas”.
Secretos revelados; sitios web vulnerables
Es relativamente trivial que un desarrollador incluya accidentalmente secretos de su empresa en software o código. Alon Schindel, vicepresidente de inteligencia artificial e investigación de amenazas en la empresa de seguridad en la nube Wiz, dice que existe una gran variedad de secretos que los desarrolladores pueden codificar o exponer inadvertidamente a lo largo del proceso de desarrollo de software. Estos pueden incluir contraseñas, claves de cifrado, tokens de acceso a API, secretos de proveedores de la nube y certificados TLS.
“El riesgo más grave de dejar secretos codificados es que, si se exponen las credenciales y los secretos de autenticación digital, pueden otorgar a los adversarios acceso no autorizado a las bases de código, bases de datos y otra infraestructura digital sensible de una empresa”, afirma Schindel.
Los riesgos son altos: los secretos expuestos pueden dar lugar a violaciones de datos, piratas informáticos que irrumpen en las redes y ataques a la cadena de suministro, añade Schindel. Investigación en 2019 Descubrí que todos los días se filtraban miles de secretos en GitHub. Y mientras Existen varias herramientas de escaneo secretasestos se centran principalmente en objetivos específicos y no en la red más amplia, dice Demirkapi.
Durante su investigación, Demirkapi, que se hizo conocido por sus ataques informáticos a escuelas cuando era adolescente hace cinco años, buscó estas claves secretas a gran escala, en lugar de seleccionar una empresa y buscar específicamente sus secretos. Para ello, recurrió a VirusTotal, el sitio web propiedad de Google, que permite a los desarrolladores cargar archivos (como aplicaciones) y escanearlos en busca de malware potencial.
