5.8万个网站暴露超100万密钥

Cybernews 的研究分析发现，有超过 5.8 万个网站的环境（.env）文件公开暴露了一百万个密钥。

大多数受影响的网站来自美国。

在半数情况下，暴露的密钥允许未经授权的行为者直接访问数据库。

暴露的密钥包括支付处理器 API 密钥、电子邮件凭据、云访问密钥、应用程序密钥和 OAuth 秘密。此外，还存在 GCP 密钥、Firebase 端点和秘密、Azure 秘密、谷歌云和其他云提供商凭证。

通过分析最新的环境文件索引，Cybernews得到了一个数据集，其中包含来自 58364个独特网站的累计114104个密钥。

Cybernews的研究人员表示，这些都是在调查期间可以公开访问的有效密钥。这些密钥的数量说明了哪些类型的网站功能最有可能被恶意行为者破坏。

最常暴露的密钥是数据库凭据，它们存在于2.7万多个网站的 .envs 中。在这种情况下，只有 12% 的数据库是远程托管的，因此很容易被利用。

数据库通常存储大量敏感信息，如用户的个人信息或管理员账户信息。数据库凭据的泄露会暴露网站用户的姓名、地址、密码、订单、操作等信息。Cybernews 的研究人员指出，数据库还可能包含更多网站基础设施和管理员凭据，这些凭据可用于横向移动或进一步攻击。

第二种最常泄露的密钥类型是应用程序密钥，通常用于加密和解密 cookie 和其他敏感信息。理论上，应用程序密钥可用于会话劫持、数据窃取和其他攻击。

电子邮件凭据暴露在10000 多个网站中。暴露的电子邮件凭据可被恶意行为者用于账户接管，从官方电子邮件地址发送钓鱼电子邮件，使其看起来更合法。这可能会导致许多诈骗和欺诈行为。威胁者还可以尝试访问其他账户。

有3500个网站的 Mautic凭证被曝光。这款开源营销自动化软件用于营销活动、潜在客户生成、电子邮件营销和其他用途。Mautic 凭证可暴露网站使用活动、联系信息和订单信息。

AWS 密钥允许恶意行为者访问网站的 AWS 云存储，该存储可用于存储未加密的数据库备份、收据、KYC 文档和视频等文件。超过 1200 个 AWS 密钥也可能被利用来访问 AWS 云存储，并窥探收据、KYC 表单等公司文件。

有 800 个 Google OAuth 客户端密钥和 500 个 Facebook OAuth 客户端密钥会带来未经授权访问用户账户的风险。

最敏感的凭证出现的频率较低。Cybernews的研究人员表示，在泄露的机密中，有超过 10 万个（或 10%）是高风险凭证。它们有可能被用来接管网站，或被用来策划影响巨大的横向攻击。高风险凭证包括数据库密码、AWS 密钥、电子邮件密码、支付处理器凭证以及 Google 和 Facebook SSO 等身份验证系统。

研究团队发现了几百个用于访问支付处理器的 API 密钥，其中包括 140 个有效的 Stripe API 密钥、100 多个 PayPal API 密钥和 200 多个 Razorpay（印度支付处理器）密钥。此外，还有数十个网站泄露了 Zoom API 密钥，以及少量 SSH 密码、端点、用户名、私钥和 Zoho CRM 密钥。

Cybernews研究小组警告，这令人担忧，因为支付处理器凭据可能会暴露支付信息或允许未经授权的提款。

大多数受影响的网站（17990 个）都设在美国。然而，世界各地的网站都有机密泄露。

Cybernews 的研究人员发现，德国有 7091 个配置错误的网站，印度有 3290 个，法国有 2916 个。其他泄密网站超过 1000 个的国家包括新加坡、中国、英国、俄罗斯、日本和荷兰。

据估计，互联网上大约有 10 亿个网站，其中只有 2 亿个是活跃的。这可能表明，Cybernews 只探索了整个网络的一小部分，即 0.0002%。然而，这只是从公共索引服务中收集到的信息，并没有以任何方式连接到任何易受攻击的服务器。

Cybernews团队之前的研究表明，即使是一些最受欢迎的网站，有时也会暴露它们的.envs。其中包括一些全球顶尖的大学。

对于访问者来说，这些网站是隐私和安全的雷区。他们在使用网站时的每一个操作都可能带来大量潜在危险，如丢失数据、身份盗窃、鱼叉式网络钓鱼和经济损失。这种情况很容易失控。

虽然经验法则是永远不要存储或暴露明文密钥，但研究人员也认为有时并没有那么简单，否则他们就无法发现任何暴露的密钥。

在设置文件访问权限时，这也容易造成遗漏。.env文件名以点开头，因此，在 MacOS 和 Linux 上，它会自动隐藏起来，除非开发人员启用“显示隐藏文件”，否则在开发网络应用程序时不会显示出来。仅这一点就可能导致开发人员在无意中上传敏感文件，例如，当他们上传整个文件夹时。

导致.env 文件暴露的原因有很多，包括版本控制失误、网络服务器配置错误、访问控制不足、部署错误、人为错误或疏忽等。

研究小组还发现，大多数存在凭证泄露的数据库都与网站托管在同一服务器上。攻击者不需要走很远的路就可以访问它。

Cybernews的研究小组总结道：“我们还发现了数千个数据库托管在远程服务器上的案例，但泄露的凭据可以立即被恶意行为者使用。在没有任何 IP 白名单的情况下，任何找到正确凭证的人都可以登录数据库，读取客户和公司的私人信息。”

他们建议对 .env 文件和数据库使用安全加密的存储解决方案和适当的访问控制。