Un Hacker di 23 anni scopre le chiavi API di OpenAI oltre a 66.000 Vulnerabilità sul web

Redazione RHC : 13 Agosto 2024 07:11

Il 23enne Bill Demirkapi ricercatore indipendente e white hat hacker, ha sviluppato un metodo per identificare le vulnerabilità su larga scala su Internet utilizzando fonti di dati non standard.

I risultati del lavoro sono stati presentati alla conferenza Def con di Las Vegas. Tra gli almeno 15.000 segreti rinvenuti (per “segreti” si intendono dati sensibili come password, chiavi API , token di autenticazione, ecc ..) c’erano centinaia di account associati alla Corte Suprema del Nebraska e ai suoi sistemi IT, nonché dati di accesso ai canali Slack dell’università di Stanford .

Di particolare interesse sono state le oltre mille chiavi API appartenenti ai clienti OpenAI. Tra le organizzazioni che hanno inavvertitamente esposto dati sensibili figurano un importante produttore di smartphone, clienti fintech e una società multimiliardaria di sicurezza informatica.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Demirkapi ha anche creato un sistema automatizzato che revoca i dati compromessi, rendendoli privi di valore per i potenziali aggressori.

La seconda area di ricerca riguardava le vulnerabilità dei siti web. L’hacker ha scoperto 66.000 siti con vulnerabilità in sottodomini non utilizzati (“dangling”). Tra le persone colpite figurano alcune delle proprietà web più grandi del mondo, compreso un dominio di prova di proprietà del New York Times.

Per dimostrare i pericoli dei sottodomini vulnerabili, Demirkapi ha condotto un esperimento. Ha pubblicato temporaneamente un articolo satirico sul dominio di prova del New York Times con il titolo provocatorio “Gli Stati Uniti dichiarano guerra alla Russia mentre le tensioni aumentano, inviando onde d’urto attraverso la comunità internazionale”. L’articolo è rimasto disponibile per circa una settimana. Questo esperimento ha mostrato chiaramente come le vulnerabilità possano essere sfruttate per diffondere disinformazione o effettuare attacchi di phishing.

Per trovare le chiavi segrete, il ricercatore si è rivolto a VirusTotal, un servizio di proprietà di Google che viene generalmente utilizzato per scansionare i file alla ricerca di malware. Utilizzando le regole Retrohunt e YARA, ha analizzato oltre 1,5 milioni di campioni alla ricerca di dati sensibili.

Per garantire che le chiavi e i segreti trovati fossero aggiornati, Demirkapi ha eseguito le richieste API. Ciò gli ha permesso di confermare che le informazioni scoperte erano ancora attive e potevano essere utilizzate dagli aggressori.

Per identificare i siti Web vulnerabili, l’esperto ha utilizzato i dati di replica DNS passiva. Di conseguenza, sono stati scoperti più di 78.000 servizi cloud non protetti associati a 66.000 domini di primo livello.

Alon Schindel, vicepresidente della ricerca sulle minacce informatiche presso Wiz, osserva che esiste un’enorme varietà di dati sensibili che gli sviluppatori possono inavvertitamente lasciare nel codice o rivelare durante il processo di creazione del software. Questi includono password, chiavi di crittografia, token di accesso API, segreti del provider cloud e certificati TLS. Schindel sottolinea che il pericolo principale è che la loro divulgazione possa fornire agli aggressori un accesso non autorizzato a basi di codice, database e altre infrastrutture digitali riservate.

Secondo Demirkapi, individuare i problemi è solo metà dell’opera. Ha anche adottato misure critiche per correggere i problemi riscontrati. Ad esempio, OpenAI ha segnalato più di 1.000 chiavi API esposte, dopodiché l’azienda ha fornito una chiave API pubblica per revocare automaticamente i dati compromessi.

Tuttavia, non tutte le aziende erano pronte a collaborare. GitHub e Amazon Web Services hanno negato l’accesso agli strumenti di reporting esistenti. Ciò ha costretto Demirkapi a trovare soluzioni alternative, incluso l’utilizzo di GitHub per caricare automaticamente i segreti per abilitare il sistema di scansione dei dati sensibili della piattaforma .

Daiping Liu, responsabile della ricerca senior presso Palo Alto Networks, afferma che il problema dei domini è diffuso. In ogni momento, decine di migliaia di documenti sono a rischio, ha affermato. Liu aggiunge che i domini più grandi potrebbero essere particolarmente vulnerabili a questo problema perché sono più difficili da gestire e sono più soggetti a errori umani. Questo spiega perché anche giganti come il New York Times potrebbero essere in pericolo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli