Hacker di 23 anni scopre le chiavi API di OpenAI oltre a 66.000 Vulnerabilità

Hacker di 23 anni scopre le chiavi API di OpenAI oltre a 66.000 Vulnerabilità
Photo by Kasia Derenda / Unsplash

Un giovane ricercatore di sicurezza informatica di 23 anni, Bill Demirkapi, ha recentemente presentato alla conferenza Def Con di Las Vegas i risultati di un'indagine innovativa sulle vulnerabilità presenti su Internet. Utilizzando metodi non convenzionali, Demirkapi è riuscito a identificare oltre 15.000 "segreti" esposti, tra cui password, chiavi API e token di autenticazione.

Tra le scoperte più significative figurano:

  • Oltre mille chiavi API di clienti OpenAI
  • Dati sensibili di un importante produttore di smartphone, clienti fintech e una società di sicurezza informatica multimiliardaria
  • Centinaia di account associati alla Corte Suprema del Nebraska e ai suoi sistemi IT
  • Credenziali di accesso ai canali Slack dell'Università di Stanford

Demirkapi ha inoltre sviluppato un sistema automatizzato per revocare i dati compromessi, riducendo così il rischio di potenziali attacchi.

La ricerca ha anche rivelato 66.000 siti web con vulnerabilità in sottodomini non utilizzati, coinvolgendo alcune delle più grandi proprietà web al mondo. Per dimostrare la pericolosità di queste falle, il ricercatore ha condotto un esperimento pubblicando un articolo satirico su un dominio di prova del New York Times, evidenziando come tali vulnerabilità possano essere sfruttate per diffondere disinformazione o effettuare attacchi di phishing.

Per individuare le chiavi segrete, Demirkapi ha utilizzato VirusTotal, un servizio di Google, analizzando oltre 1,5 milioni di campioni. Ha poi verificato l'attualità delle informazioni trovate eseguendo richieste API.

Alon Schindel, vicepresidente della ricerca sulle minacce informatiche presso Wiz, sottolinea la varietà di dati sensibili che gli sviluppatori possono inavvertitamente esporre, come password, chiavi di crittografia e certificati TLS. Il pericolo principale è che la divulgazione di questi dati possa consentire agli aggressori di accedere a infrastrutture digitali riservate.

Nonostante alcune aziende, come OpenAI, abbiano collaborato per risolvere i problemi segnalati, altre, tra cui GitHub e Amazon Web Services, hanno negato l'accesso agli strumenti di reporting esistenti. Ciò ha costretto Demirkapi a trovare soluzioni alternative per segnalare le vulnerabilità.

Daiping Liu di Palo Alto Networks sottolinea che il problema dei domini vulnerabili è diffuso e che i domini più grandi sono particolarmente a rischio a causa della loro complessità gestionale.

Questa ricerca evidenzia l'importanza di una costante vigilanza sulla sicurezza informatica e la necessità di migliorare le pratiche di gestione dei dati sensibili nel settore tecnologico.

Fonti: