アルゴリアAPIキ、数々のハッキング脅威にさらされる

アルゴリア (Algolia)はウェブ検索を提供するSaaS型のホスト検索エンジンサービスです。簡単な会員登録をした上でアルゴリアAPIキーを発行し、ウェブサイトおよびモバイルアプリケーション内に連動すると速やかな検索を処理し、円滑に具現することができるという長所があります。なので、毎月何千に至るほどの会社のアプリケーションがアルゴリアを使用します。 このように多くのウェブに使われるアルゴリアAPIキーのセキュリティ問題が最近発見されました。シンガポールのセキュリティ会社CloudSEKで2022年11月21日公表した報告によると、ハードコーティングされた数百万のユーザーのアルゴリアAPIキーを奪取できるセキュリティ問題が発生したそうです。 AlgoliaのAPIは会社で音声、モバイルおよびウェブサイトの応用プログラムに検索、検索および勧奨事項を統合するのに使用されます。現在Lacoste、Stripe、Slack、MediumおよびZendeskを含む11,000個以上の会社で年間1兆5千億件の検索クエリーを管理するのに使用しています。 しかし、世界初のモバイル・アプリ用セキュリティ検索エンジンであるCloudSEKのBeVigilは、Algolia APIキーを流出した1,550個のアプリを職別しました。その中で数百万件のダウンロードが行われた32個のアプリには攻撃者が数百万のユーザーのデータを盗むために悪用できるハードコーティングされたキーが含まれています。 出所 : Hardcoded Algolia API Keys Could be Exploited by Threat Actors to Steal Millions

By |2022-12-06T18:57:21+09:002022-12-06|Tags: , |0 Comments

APIキー 一つで起こる個人情報漏れ、そして造作

デバッグ モードが活性化されたジャンゴ(Django)ウェブ アプリケーションを Criminal IP(https://www.criminalip.io/ja) で検索すると、3,100を超えるウェブ アプリケーションで DB アカウント及びパスワード、そして APIキー がネットでそのまま漏洩されていることを確認できます。すなわち、これはジャンゴで開発されたサイトを通じて企業の個人情報や機密ドキュメントなどが簡単に取られてしまう可能性があることを示します。CIP チームはジャンゴやララベル(Laravel)などのウェブ アプリケーションに関するキーワード検索で Credential 情報漏れの深刻さを調べてみます。 クレデンシャル(Credential)とは? クレデンシャル(Credential)の辞書上の意味は‘資格証明’で、通常では特定の人がその資格を持っているかを証明する手法を表します。あらゆる身分証と証明書などが Credentialに含まれます。しかし、クラウド環境や Facebook、Twitter、Line などのように

Go to Top