1550 приложений допускают утечку API-ключей Algolia

Об утечке API-ключей Algolia рассказали исследователи CloudSEK. API Algolia используется примерно 11 000 компаниями для реализации поиска и рекомендаций на веб-сайтах и в мобильных приложениях.

В Algolia используются API-ключи Admin, Search, Monitoring, Usage и Analytics. Из этих ключей только Search предназначен для взаимодействия с пользователем и доступен в коде внешнего интерфейса, помогая выполнять поисковые запросы в приложениях.

К остальным ключам можно получить доступ только с помощью ключа Admin, который также предоставляет дополнительный набор возможностей:

• Просмотр/удаление индекса;

• Добавление/удаление записей;

• Получение списка индексов;

• Получение/установка настроек индекса;

• Получение логов доступа.

И если в руки злоумышленника попадет API-ключ администратора, то он сможет воспользоваться им, чтобы получить доступ к информации о подключениях пользователя, статистике использования и истории поиска. Кроме того, хакер получит возможность модифицировать базы данных приложения.

В ходе исследования CloudSEK удалось обнаружить, что 1 550 приложений сливают API-ключи Algolia и ID приложения, что создает риск несанкционированного доступа к конфиденциальной информации. И что самое плохое – проблемы возникают при утечке любого из ключей, а не только ключа администратора, который дает хакерам больше возможностей.

Из всех обнаруженных приложений у 32 происходит утечка ключа Admin, что подвергает более трех миллионов пользователей риску утечки данных. Больше всего ключей сливают приложения для онлайн-покупок, которые суммарно имеют более 2,3 миллионов скачиваний. CloudSEK сообщает, что уже связалась со всеми разработчиками приложений и предупредила их об утечке API-ключей, но не получила ответа ни от одного их них.