Утечка ключей может привести к утечке данных пользователей.
https://www.securitylab.ru/upload/ib...rlptj3asl9.png
Об утечке API-ключей Algolia рассказали исследователи CloudSEK. API Algolia используется примерно 11 000 компаниями для реализации поиска и рекомендаций на веб-сайтах и в мобильных приложениях.
В Algolia используются API-ключи Admin, Search, Monitoring, Usage и Analytics. Из этих ключей только Search предназначен для взаимодействия с пользователем и доступен в коде внешнего интерфейса, помогая выполнять поисковые запросы в приложениях.
К остальным ключам можно получить доступ только с помощью ключа Admin, который также предоставляет дополнительный набор возможностей:<ul><li>Просмотр/удаление индекса;</li>
</ul><ul><li>Добавление/удаление записей;</li>
</ul><ul><li>Получение списка индексов;</li>
</ul><ul><li>Получение/установка настроек индекса;</li>
</ul><ul><li>Получение логов доступа.</li>
</ul>И если в руки злоумышленника попадет API-ключ администратора, то он сможет воспользоваться им, чтобы получить доступ к информации о подключениях пользователя, статистике использования и истории поиска. Кроме того, хакер получит возможность модифицировать базы данных приложения.
В ходе исследования CloudSEK удалось обнаружить, что 1 550 приложений сливают API-ключи Algolia и ID приложения, что создает риск несанкционированного доступа к конфиденциальной информации. И что самое плохое – проблемы возникают при утечке любого из ключей, а не только ключа администратора, который дает хакерам больше возможностей.
Из всех обнаруженных приложений у 32 происходит утечка ключа Admin, что подвергает более трех миллионов пользователей риску утечки данных. Больше всего ключей сливают приложения для онлайн-покупок, которые суммарно имеют более 2,3 миллионов скачиваний. CloudSEK сообщает, что уже связалась со всеми разработчиками приложений и предупредила их об утечке API-ключей, но не получила ответа ни от одного их них.