Depois de analisar 10 milhões de páginas da web, pesquisadores descobriram milhares de sites expondo acidentalmente credenciais de API confidenciais, incluindo chaves vinculadas a serviços importantes como Amazon Web Services, Stripe e OpenAI.
Este é um problema sério porque as APIs atuam como a espinha dorsal dos aplicativos que usamos hoje. Eles permitem que os sites se conectem a serviços como pagamentos, armazenamento em nuvem e ferramentas de IA, mas dependem de chaves digitais para permanecerem seguros. Uma vez expostas, as chaves de API podem permitir que qualquer pessoa interaja com esses serviços com intenções maliciosas.
Chaves de API confidenciais expostas em milhares de sites
De acordo com TechXploreos pesquisadores identificaram 1.748 credenciais de API exclusivas em quase 10.000 páginas da web, vinculadas a 14 grandes provedores de serviços. Esses vazamentos não se limitaram a sites obscuros, com alguns aparecendo em plataformas administradas por bancos globais e grandes desenvolvedores de software.
Cerca de 84% desses vazamentos vieram de arquivos JavaScript, que são facilmente acessíveis por meio de um navegador. Isso significa que as credenciais estavam efetivamente armazenadas em código visível publicamente.
Ainda mais preocupante é quanto tempo essas chaves permaneceram expostas. Alguns ficaram visíveis por até 12 meses, enquanto alguns casos raros mostraram credenciais que permaneceram públicas por vários anos sem serem detectadas.
Então, o que está causando esses vazamentos?
O estudo deixa claro que o problema não está nos provedores de serviços como Amazon, Stripe ou OpenAI. Em vez disso, o problema decorre de como os desenvolvedores lidam com as chaves de API.
Em muitos casos, os desenvolvedores incluem acidentalmente credenciais de API privadas no código front-end de um site, deixando-o visível para qualquer pessoa que saiba onde procurar.
Como impedir que as chaves de API sejam expostas?
Para evitar vazamentos futuros, os pesquisadores sugerem algumas medidas práticas. Os desenvolvedores devem verificar a versão ativa de seus sites, e não apenas o código privado, para capturar as chaves expostas.
Com o surgimento do vibecoding, as empresas precisam de regras mais rígidas para ferramentas automatizadas de construção de sites que lidam com dados confidenciais durante a implantação. É também por isso que plataformas como Lovable começaram a adicionar ferramentas de navegação segura para proteger os usuários de sites mal codificados.
Enquanto isso, os provedores de serviços precisam melhorar os sistemas de detecção para sinalizar as chaves expostas no momento em que aparecem online. Embora a divulgação responsável tenha ajudado a reduzir algumas destas fugas, a escala do problema continua a ser significativa.
Relatórios recentes também mostraram como a simples visita a um site pode expor seu dispositivo a sérios riscos, destacando o quão frágil a segurança da web pode ser para os usuários comuns da Internet.
