La fuga de claves puede filtrar datos de usuario, poniendo en claro peligro a los mismos, y dejando la ciberseguridad a unos niveles muy bajos.
Las claves API de Algolia fueron filtradas por investigadores de CloudSEK. Aproximadamente 11 000 empresas utilizan la API de Algolia para implementar búsquedas y recomendaciones en sitios web y aplicaciones móviles.
Algolia utiliza las claves API de administración, búsqueda, monitoreo, uso y análisis. De estas claves, solo Buscar está destinado a la interacción del usuario y está disponible en el código de front-end para ayudarlo a realizar consultas de búsqueda en las aplicaciones.
Solo se puede acceder al resto de las claves mediante la clave Admin, que también proporciona un conjunto adicional de funciones que te señalamos a continuación:
- Ver/eliminar índice.
- Agregar/eliminar registros.
- Obtener una lista de índices.
- Obtener/establecer la configuración del índice.
- Obtener registros de acceso.
Además si un atacante obtiene la clave API del administrador, puede usarla para obtener acceso a información sobre las conexiones del usuario, las estadísticas de uso y el historial de búsqueda. Además, el hacker podrá modificar las bases de datos de la aplicación.
La investigación de CloudSEK encontró que 1,550 aplicaciones estaban filtrando claves API de Algolia e ID de aplicaciones, creando un riesgo de acceso no autorizado a información confidencial. Sin duda el peor escenario para los usuarios, que ven con impotencia como sus datos privados quedan expuestos ante los implacables hackers.
Y lo peor de todo, surgen problemas cuando se filtra alguna de las claves, no solo la clave del administrador, lo que da más opciones a los hackers informáticos. De todas las aplicaciones descubiertas, se filtró la clave de administrador de 32, lo que pone a más de tres millones de usuarios en riesgo de sufrir una peligrosa filtración de datos.
Los expertos han señalado que la mayoría de las claves las filtran las aplicaciones de compra online, que suman un total de más de 2,3 millones de descargas. CloudSEK informa que ya se ha puesto en contacto con todos los desarrolladores de aplicaciones y les ha advertido sobre las claves API filtradas, pero no ha recibido respuesta de ninguno de ellos.
Este tipo de vulnerabilidades nos hablan alto y claro de lo delicada que es y sigue siendo la ciberseguridad, y de la imperiosa necesidad de contar con expertos bien formados que palien o incluso acaben con uno de estos ataques antes de que se produzca.
