APIキー 一つで起こる個人情報漏れ、そして造作

デバッグ モードが活性化されたジャンゴ(Django)ウェブ アプリケーションを Criminal IP(https://www.criminalip.io/ja) で検索すると、3,100を超えるウェブ アプリケーションで DB アカウント及びパスワード、そして APIキー がネットでそのまま漏洩されていることを確認できます。すなわち、これはジャンゴで開発されたサイトを通じて企業の個人情報や機密ドキュメントなどが簡単に取られてしまう可能性があることを示します。CIP チームはジャンゴやララベル(Laravel)などのウェブ アプリケーションに関するキーワード検索で Credential 情報漏れの深刻さを調べてみます。 クレデンシャル(Credential)とは? クレデンシャル(Credential)の辞書上の意味は‘資格証明’で、通常では特定の人がその資格を持っているかを証明する手法を表します。あらゆる身分証と証明書などが Credentialに含まれます。しかし、クラウド環境や Facebook、Twitter、Line