Cybernews 最新研究发现,全球有超过 58,000 个独立网站存在容易遭受数据泄露甚至完全被接管的威胁。
研究小组通过对公开暴露的环境文件(.env)进行了调查,这些文件包含密码、API 密钥和网站访问数据库、邮件服务器、支付处理器、内容管理系统和其他各种服务所需的其他机密。
对公开索引的扫描显示,数千名网站所有者没有对密钥进行保护。导致这些网站不仅容易受到未经授权的访问和数据泄露,而且访问者也面临许多危险。
对最新环境文件索引的分析揭示了 58,364 个独立网站累计暴露的 1,141,004 个机密数据集。最常暴泄露是数据库凭证,存在于超过 27,000 个网站的 .envs 中。在这种情况下,只有 12% 的数据库是远程托管的,因此很容易被利用。
研究人员指出:“数据库通常存储大量敏感信息,例如用户的私人信息或管理员帐户信息。数据库凭证泄露可能会暴露网站用户的姓名、地址、密码、订单、操作等。”
第二种最常泄露的类型是应用程序密钥,通常用于加密和解密 cookie 和其他敏感信息。理论上,应用程序密钥可用于会话劫持、数据窃取和其他攻击。
超过 10,000 个网站都存在电子邮件凭证。这些凭证可用于账户接管尝试,也可用于网络钓鱼活动,以使邮件看起来更合法。研究团队还发现了数百个用于访问支付处理器的 API 密钥,其中包括 140 个有效的 Stripe API 密钥和 100 多个 PayPal API 密钥。
受影响的网站(17,990 个)大部分托管在美国。然而,世界各地的网站都存在泄露问题。研究人员发现,德国有 7091 个配置错误的网站、印度有 3290 个、法国有 2916 个。其他泄露网站超过 1,000 个的国家包括新加坡、中国、英国、俄罗斯、日本和荷兰。
研究人员补充道:“据估计,互联网上有大约 10 亿个网站,其中只有 2 亿个是活跃的。这可能意味着我们只探索了整个网络的一小部分,即 0.0002%。然而,这只是从公共索引服务收集的信息,没有以任何方式连接到任何易受攻击的服务器。”
.env 文件暴露的原因有很多,包括版本控制失误、Web 服务器配置错误、访问控制不充分、部署错误以及人为错误或疏忽。研究小组还发现,大部分泄漏凭据的数据库与网站托管在同一服务器上。
“我们还发现了数千个数据库托管在远程服务器上的案例,但泄漏的凭据可以立即被恶意行为者使用。在没有任何 IP 白名单的情况下,任何找到正确凭证的人都可以登录数据库,读取客户和公司的私人信息。"
他们建议对 .env 文件和数据库使用安全加密的存储解决方案和适当的访问控制。