Chaves API, Chaves API, por que razão estão sempre a vazar?

Tópicos:

3 jul. 2024

Sim, acabámos de perceber que wherefore significa porquê, não onde. Não julgues. :)

A fuga de chave API do rabbit r1 é a mais recente numa série de fugas que mostram que a segurança de API ainda está na sua infância. É também uma das formas mais recentes de roubo de credenciais e Apropriação de conta (ATO). Quando usada num ataque, uma chave API proporciona acesso a grandes quantidades de dados que são facilmente consumidos em grandes quantidades. Este tipo de ataque é um evento de segurança de alto impacto.

Qual é o coelho r1?

O coelho r1, também chamado de ‘r1’, é um assistente virtual que requer uma entrada mínima para obter o resultado desejado. Este dispositivo de inteligência artificial (IA) do tamanho de um bolso é como um smartphone, mas não tem aplicações para abrir e navegar. Se quiser pedir um Uber ou ouvir música, basta falar com o r1. O dispositivo interage com as suas contas e serviços nos bastidores, mas não verá nenhuma dessas ações no seu dispositivo r1. Depois de configurar o backend do coelho r1 para aceder às suas contas, pode simplesmente falar com o dispositivo para aceder a esses serviços.

Logótipo do coelho registado como marca comercial

O coelho r1 companheiro de bolso

O dispositivo recebe críticas mistas sobre o desempenho, mas o CEO Jesse Lyu afirma ter vendido 130.000 destes dispositivos em junho de 2024. Se cada dispositivo estiver configurado para aceder ao Uber, Spotify, DoorDash e outros serviços suportados, cada dispositivo terá acesso a várias contas de utilizador.

Então, o que aconteceu?

Em 16 de maio de 2024, um grupo de investigadores/hacktivistas chamado 'rabbitude' descobriu chaves de API hardcoded na base de código do rabbit r1. Em termos simples, uma interface de programação de aplicações, ou API, facilita a interação entre duas aplicações. As APIs permitem que o rabbit r1 comunique com as aplicações suportadas que o utilizador configura. As chaves de API são identificadores únicos usados para autenticar o utilizador ou aplicação que tenta aceder à API. Quando os hacktivistas encontraram as chaves de API hardcoded, conseguiram aceder a estas plataformas de terceiros:

ElevenLabs (para conversão de texto em voz)
Azure (para um antigo sistema de reconhecimento de fala)
Yelp (para pesquisas de avaliações)
Google Maps (para pesquisas de localização)

O acesso fornecido pelas chaves API variou, mas pelo menos uma ofereceu privilégios totais a ElevenLabs. Esta chave permitiria a atores de ameaça obter históricos de todas as mensagens de texto para fala anteriores, adicionar substituições de texto personalizadas e mais. Poderia até ser explorada para crashar o backend do sistema operativo rabbit e tornar todos os dispositivos r1 inutilizáveis.

Qual é o grande problema?

Embora todos os dispositivos, aplicações e empresas sejam suscetíveis a vulnerabilidades e explorações, o uso de chaves codificadas tem sido uma prática conhecida como má há décadas. É uma grande questão de segurança ao ponto de ter sido publicada como Common Weakness Enumeration (CWE) 321. Esta não é uma questão de segurança desconhecida. Chaves ou credenciais codificadas têm sido responsáveis pelo comprometimento de tudo, desde routers a switches até plataformas de software massivas:

Twitter As chaves de API foram divulgadas através de milhares de aplicações móveis, permitindo que atacantes acedam a várias categorias de informações sensíveis.
Toyota inadvertidamente divulgou chaves no código-fonte carregado para o GitHub, o que expôs mais de 296.000 registos de clientes com endereços de email.
Os sistemas da Uber continham uma conta de administrador codificada que deu a um atacante acesso à infraestrutura e rede da empresa. (CWE-798 trata de credenciais codificadas)

Como indústria, a TI parece estar determinada a repetir os erros do passado.

As normas de segurança para o desenvolvimento e segurança de TI alertam contra esta prática por boas razões. Se uma chave codificada for encontrada, pode ser difícil removê-la sem quebrar a API. Mais importante ainda, se a chave cair nas mãos erradas, como aconteceu com o coelho r1, pode ser usada para fins nefastos.

As APIs são as autoestradas da TI, permitindo-nos trocar grandes quantidades de informação ao toque de um botão. São uma necessidade estrita para uma automação adequada e, como indústria, não seríamos capazes de avançar sem elas. A sua sensibilidade e o impacto dos problemas de segurança obrigam-nos a dar um passo atrás e analisar como as construímos e como interagimos com elas.

Qual é a solução?

Não existem soluções universais em casos como estes, mas existem algumas melhores práticas:

Nunca utilize credenciais codificadas em software.
Tenha uma estratégia abrangente de segurança de aplicações eficaz tanto durante a construção como na execução.
Revise o código e as práticas de segurança regularmente.
Aprenda com o passado. Muitos erros de segurança já foram cometidos ad nauseam.

Barracuda pode ajudar

Barracuda Application Protection é uma plataforma integrada que combina um conjunto abrangente de capacidades interoperáveis para garantir segurança completa de aplicações, incluindo proteção contra as 10 principais ameaças Web e API da OWASP. Visite o nosso site para mais detalhes.

Stefan van der Wal

Stefan van der Wal é Consultor de Engenharia de Soluções, Segurança de Aplicações na Barracuda. Conecte-se com ele no LinkedIn aqui.

Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR