23/11/22
Об утечке API-ключей Algolia рассказали исследователи CloudSEK. API Algolia используется примерно 11 000 компаниями для реализации поиска и рекомендаций на веб-сайтах и в мобильных приложениях, согласно Securitylab.В Algolia используются API-ключи Admin, Search, Monitoring, Usage и Analytics. Из этих ключей только Search предназначен для взаимодействия с пользователем и доступен в коде внешнего интерфейса, помогая выполнять поисковые запросы в приложениях.
К остальным ключам можно получить доступ только с помощью ключа Admin, который также предоставляет дополнительный набор возможностей:
- Просмотр/удаление индекса;
- Добавление/удаление записей;
- Получение списка индексов;
- Получение/установка настроек индекса;
- Получение логов доступа.
И если в руки злоумышленника попадет API-ключ администратора, то он сможет воспользоваться им, чтобы получить доступ к информации о подключениях пользователя, статистике использования и истории поиска. Кроме того, хакер получит возможность модифицировать базы данных приложения.
В ходе исследования CloudSEK удалось обнаружить, что 1 550 приложений сливают API-ключи Algolia и ID приложения, что создает риск несанкционированного доступа к конфиденциальной информации. И что самое плохое – проблемы возникают при утечке любого из ключей, а не только ключа администратора, который дает хакерам больше возможностей.
Из всех обнаруженных приложений у 32 происходит утечка ключа Admin, что подвергает более трех миллионов пользователей риску утечки данных. Больше всего ключей сливают приложения для онлайн-покупок, которые суммарно имеют более 2,3 миллионов скачиваний. CloudSEK сообщает, что уже связалась со всеми разработчиками приложений и предупредила их об утечке API-ключей, но не получила ответа ни от одного их них.
