งานวิจัยเผยเว็บไซต์นับพันทำข้อมูล API หลุดโดยไม่รู้ตัว

ความผิดพลาดในขั้นตอนการสร้างเว็บไซต์

0 น้อยกว่า 1 นาที

ทีมนักวิจัยจากมหาวิทยาลัย Stanford นำโดย Nurullah Demir ได้เผยแพร่ผลการศึกษาผ่าน arXiv หลังการวิเคราะห์เว็บไซต์กว่า 10 ล้านแห่ง และพบช่องโหว่ด้านความปลอดภัยที่น่ากังวลใจอย่างยิ่ง โดยพบว่ามีเว็บไซต์จำนวนมากกำลังเผยแพร่ข้อมูลอ่อนไหว เช่น API Credentials ซึ่งเปรียบเสมือนกุญแจดิจิทัลที่ซอฟต์แวร์ใช้สื่อสารกันเพื่อจัดการธุรกรรมทางการเงินหรือเข้าถึงพื้นที่เก็บข้อมูลบนคลาวด์แบบสาธารณะ

ทีมนักวิจัยได้ใช้ฐานข้อมูล HTTP Archive เพื่อเฝ้าสังเกตการประมวลผลข้อมูลของเว็บไซต์ในขณะที่มีการเรียกใช้งานจริง ซึ่งวิธีนี้ทำให้พวกเขาพบกุญแจสำคัญที่มักจะปรากฏขึ้นเฉพาะตอนที่ผู้ใช้เข้าเยี่ยมชมไซต์เท่านั้น ผลการตรวจสอบพบ Credentials ที่ยังใช้งานได้และได้รับการยืนยันแล้วกว่า 1,748 รายการจากผู้ให้บริการยักษ์ใหญ่ อาทิ Amazon Web Services, Stripe และ OpenAI ถูกวางทิ้งไว้ในโค้ดหน้าเว็บที่ใครก็สามารถเข้าถึงได้

ความน่ากลัวของเรื่องนี้คือ ข้อมูลที่รั่วไหลส่วนใหญ่กว่า 84% ฝังอยู่ในไฟล์ JavaScript ซึ่งเป็นชุดคำสั่งเบื้องหลังที่คอยบอกว่าเว็บไซต์ต้องทำงานอย่างไร โดยกุญแจเหล่านี้บางรายการถูกทิ้งไว้กลางที่สาธารณะนานถึง 12 เดือน และในบางกรณีที่พบน้อยมากคือกุญแจเหล่านั้นหลุดออกมานานหลายปีโดยที่บริษัทเจ้าของเว็บไซต์ไม่เคยระแคะระคายเลยแม้แต่น้อย ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีเข้าถึงระบบหลังบ้านหรือบัญชีธนาคารได้โดยไม่ต้องใช้รหัสผ่าน

อย่างไรก็ตาม รายงานระบุว่าความผิดพลาดนี้ไม่ได้เกิดจากผู้ให้บริการอย่าง Amazon หรือ Stripe แต่เกิดจากเหล่านักพัฒนาซอฟต์แวร์และผู้ดูแลเว็บไซต์ที่เผลอใส่ Credentials ส่วนตัวเหล่านี้ลงไปในเวอร์ชันสุดท้ายของเว็บไซต์ที่ส่งไปยังเบราว์เซอร์ของผู้ใช้ ซึ่งขั้นตอนการตรวจสอบแบบเดิมๆ มักจะตรวจไม่พบเพราะกุญแจเหล่านี้จะปรากฏขึ้นเฉพาะในสภาพแวดล้อมการใช้งานจริง (Live Production) เท่านั้น

หลังจากตรวจพบช่องโหว่ ทีมนักวิจัยได้รีบติดต่อไปยังองค์กรที่ได้รับผลกระทบเพื่อแจ้งเตือนถึงการรั่วไหล ซึ่งภายในระยะเวลาเพียง 2 สัปดาห์ พบว่ากุญแจที่รั่วไหลกว่า 50% ได้ถูกลบออกหรือยกเลิกการใช้งานไปเรียบร้อยแล้ว ถือเป็นการตอบสนองที่รวดเร็วเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคลและบันทึกทางการเงินของลูกค้านับล้านราย

เพื่อป้องกันเหตุการณ์ในอนาคต ทีมวิจัยแนะนำให้นักพัฒนาปรับเปลี่ยนวิธีการทำงาน โดยควรสแกนตรวจสอบเว็บไซต์ในเวอร์ชันที่ทำงานจริงแทนที่จะตรวจแค่ในโค้ดส่วนตัว รวมถึงการตั้งกฎที่เข้มงวดในเครื่องมือสร้างเว็บไซต์อัตโนมัติ นอกจากนี้ยังเสนอให้ผู้ให้บริการระบบคลาวด์และระบบชำระเงิน พัฒนาระบบแจ้งเตือนลูกค้าทันทีหากตรวจพบว่ามีกุญแจสำคัญหลุดไปปรากฏบนหน้าเว็บสาธารณะ เพื่อความปลอดภัยสูงสุดของผู้ใช้งานทุกคน

ที่มา