Хакер-одиночка раскрыл тысячи секретов крупнейших компаний мира

19-летний Билл Демиркапи , независимый исследователь и белый хакер, разработал метод, позволяющий выявлять масштабные уязвимости в интернете с помощью нестандартных источников данных.

Результаты работы были представлены на конференции Defcon в Лас-Вегасе. Среди как минимум 15 000 найденных секретов (под «секретами» понимаются конфиденциальные данные, такие как пароли, ключи API, токены аутентификации) оказались сотни учетных записей, связанных с Верховным судом Небраски и его IT-системами, а также данные доступа к каналам Slack Стэнфордского университета.

Особое внимание привлекли более тысячи ключей API, принадлежащих клиентам OpenAI. Среди организаций, непреднамеренно раскрывших свои конфиденциальные данные, оказались крупный производитель смартфонов, клиенты финтех-компании и многомиллиардная корпорация, специализирующаяся на кибербезопасности.

Демиркапи также создал автоматическую систему, которая отзывает скомпрометированные данные, лишая их ценности для потенциальных злоумышленников.

Второе направление исследований касалось уязвимостей веб-сайтов. Хакер обнаружил 66 000 сайтов с уязвимостями в неиспользуемых («висячих») поддоменах. Среди затронутых оказались некоторые из крупнейших веб-ресурсов мира, в том числе тестовый домен, принадлежащий The New York Times.

Чтобы продемонстрировать опасность уязвимых поддоменов, Демиркапи провел эксперимент. Он временно опубликовал на тестовом домене The New York Times сатирическую статью с провокационным заголовком «США объявляют войну России на фоне эскалации напряженности, посылая шоковые волны через международное сообщество». Статья оставалась доступной около недели. Этот эксперимент ярко показал, как уязвимости могут быть использованы для распространения дезинформации или проведения фишинговых атак.

Для поиска секретных ключей исследователь обратился к VirusTotal — сервису, принадлежащему Google, который обычно применяется для сканирования файлов на наличие вредоносного ПО. Используя функцию Retrohunt и правила YARA, он проанализировал более 1,5 миллиона образцов в поисках конфиденциальных данных.

Чтобы удостовериться в актуальности найденных ключей и секретов, Демиркапи выполнял API-запросы. Это позволило подтвердить, что обнаруженная информация все еще активна и может быть использована злоумышленниками.

Для выявления уязвимых веб-сайтов эксперт применил данные пассивной репликации DNS. В результате было обнаружено более 78 000 незащищенных облачных сервисов, связанных с 66 000 доменов верхнего уровня.

Алон Шиндель, вице-президент по исследованиям киберугроз в компании Wiz, отмечает, что существует огромное разнообразие секретных данных, которые разработчики могут непреднамеренно оставить в коде или раскрыть в процессе создания программного обеспечения. К ним как раз относятся пароли, ключи шифрования, токены доступа API, секреты облачных провайдеров и TLS-сертификаты. Шиндель подчеркивает: главная опасность в том, что их раскрытие может предоставить злоумышленникам несанкционированный доступ к кодовым базам, базам данных и другой конфиденциальной цифровой инфраструктуре.

По словам Демиркапи, обнаружение проблем — это только половина дела. Он также предпринял важнейшие шаги для исправления найденных проблем. Например, сообщил OpenAI о более чем 1000 раскрытых ключах API, после чего компания предоставила ему публичный API-ключ для автоматического отзыва скомпрометированных данных.

Однако не все компании оказались готовы к сотрудничеству. GitHub и Amazon Web Services отказали в доступе к существующим инструментам отчетности. Это вынудило Демиркапи искать обходные пути, в том числе использовать GitHub для автоматической загрузки секретов, чтобы активировать систему сканирования конфиденциальных данных платформы.

Дайпинг Лю, старший менеджер по исследованиям в Palo Alto Networks, утверждает, что проблема «висячих» доменов широко распространена. По его словам, в любой момент времени десятки тысяч записей подвержены риску. Лю добавляет, что более крупные домены могут быть особенно уязвимы к этой проблеме, так как ими труднее управлять, и вероятность человеческой ошибки выше. Это объясняет, почему даже такие гиганты, как The New York Times, могут оказаться под угрозой.