Cybernews报告：全球数万个网站面临数据泄露风险

Cybernews的最新研究报告揭示了一个严峻的安全隐患：全球超过58,000个独立网站因环境文件的公开暴露而面临数据泄露甚至被完全接管的威胁。这些环境文件通常包含密码、API密钥等敏感信息，对于网站访问数据库、邮件服务器、支付处理器等至关重要。

研究报告指出，通过扫描公开索引，研究人员发现数千名网站所有者未能妥善保护这些密钥，使得这些网站极易受到未经授权的访问和数据泄露的威胁。据分析，这些网站累计暴露了高达1,141,004个机密数据集。

其中，数据库凭证是最常泄露的信息类型，存在于超过27,000个网站的.env文件中。值得注意的是，仅有12%的数据库是远程托管的，这使得它们更容易成为攻击者的目标。研究人员警告称，一旦数据库凭证泄露，网站用户的私人信息、管理员账户信息等敏感数据将面临暴露的风险。

除了数据库凭证外，应用程序密钥也是另一种常见的泄露类型。这些密钥通常用于加密和解密cookie等敏感信息，如果泄露，攻击者可能会利用它们进行会话劫持、数据窃取等攻击。

更令人担忧的是，超过10,000个网站都存在电子邮件凭证的泄露。这些凭证不仅可能被用于账户接管尝试，还可能被用于网络钓鱼活动，使邮件看起来更加合法。此外，研究团队还发现了数百个用于访问支付处理器的API密钥，其中包括140个有效的Stripe API密钥和100多个PayPal API密钥，这无疑增加了支付信息泄露的风险。

面对这一严峻的安全形势，专家建议网站所有者加强密钥管理，确保环境文件不被公开暴露。同时，用户也应提高警惕，注意保护个人信息和账户安全。