数万个网站面临数据泄露风险
Cybernews的最新研究发现,全球范围内竟然有超过58,000个独立的网站处于极易遭受数据泄露甚至完全被外部势力控制的危险之中。
研究团队针对公开暴露的环境文件(.env)进行了深入的调查,这些文件原本应包含高度保密的信息,如密码、API密钥等,用于网站访问数据库、邮件服务器、支付处理器以及内容管理系统等核心服务。然而,令人震惊的是,这些关键信息并未得到妥善的保护。
通过扫描公开索引,研究人员发现数千个网站的所有者未能对这些敏感密钥实施有效的保护措施。这不仅使得这些网站极易受到未经授权的访问和数据泄露的威胁,同时也让访问者自身面临巨大的风险。
对最新环境文件索引的深入分析显示,累计有58,364个独立网站暴露了高达1,141,004个机密数据集。其中,数据库凭证的泄露情况最为严重,存在于超过27,000个网站的.envs文件中。值得注意的是,仅有12%的数据库是远程托管的,因此更容易受到恶意攻击。
此外,应用程序密钥的泄露情况也相当普遍,这些密钥通常用于加密和解密cookie等敏感数据。理论上,攻击者可以利用这些应用程序密钥进行会话劫持、数据窃取等恶意活动。
更令人担忧的是,超过10,000个网站存在电子邮件凭证的泄露问题。这些凭证一旦被攻击者获取,不仅可用于尝试接管账户,还可能用于实施网络钓鱼攻击,使邮件看起来更加合法可信。研究团队还发现了数百个用于访问支付处理器的API密钥,其中包括多个有效的Stripe和PayPal API密钥。
从地域分布来看,受影响的网站主要集中在美国(17,990个),但全球范围内的网站都存在不同程度的泄露问题。德国、印度、法国等国家也有大量配置错误的网站被曝光。
研究人员强调:“虽然互联网上有数亿个网站,但只有一小部分是活跃的。我们此次的调查可能只是冰山一角,但即便如此,这也足以引起我们对网络安全的高度重视。”
关于.env文件泄露的原因,研究团队指出这可能是由于版本控制失误、Web服务器配置错误、访问控制不足、部署错误以及人为疏忽等多种因素导致的。此外,他们还发现大部分泄露凭据的数据库与网站托管在同一服务器上,这进一步增加了数据泄露的风险。
针对这一问题,研究小组建议网站所有者加强对.env文件和数据库的安全管理,采用加密存储解决方案和适当的访问控制措施,以确保敏感信息的安全性和保密性。