アルゴリア （Algolia）はウェブ検索を提供するSaaS型のホスト検索エンジンサービスです。簡単な会員登録をした上でアルゴリアAPIキーを発行し、ウェブサイトおよびモバイルアプリケーション内に連動すると速やかな検索を処理し、円滑に具現することができるという長所があります。なので、毎月何千に至るほどの会社のアプリケーションがアルゴリアを使用します。 このように多くのウェブに使われるアルゴリアAPIキーのセキュリティ問題が最近発見されました。シンガポールのセキュリティ会社CloudSEKで2022年11月21日公表した報告によると、ハードコーティングされた数百万のユーザーのアルゴリアAPIキーを奪取できるセキュリティ問題が発生したそうです。 AlgoliaのAPIは会社で音声、モバイルおよびウェブサイトの応用プログラムに検索、検索および勧奨事項を統合するのに使用されます。現在Lacoste、Stripe、Slack、MediumおよびZendeskを含む11,000個以上の会社で年間1兆5千億件の検索クエリーを管理するのに使用しています。 しかし、世界初のモバイル・アプリ用セキュリティ検索エンジンであるCloudSEKのBeVigilは、Algolia APIキーを流出した1,550個のアプリを職別しました。その中で数百万件のダウンロードが行われた32個のアプリには攻撃者が数百万のユーザーのデータを盗むために悪用できるハードコーティングされたキーが含まれています。 出所 : Hardcoded Algolia API Keys Could be Exploited by Threat Actors to Steal Millions