Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Un Hacker di 23 anni scopre le chiavi API di OpenAI oltre a 66.000 Vulnerabilità sul web

Redazione RHC : 13 Agosto 2024 07:11

Il 23enne Bill Demirkapi ricercatore indipendente e white hat hacker, ha sviluppato un metodo per identificare le vulnerabilità su larga scala su Internet utilizzando fonti di dati non standard.

I risultati del lavoro sono stati presentati alla conferenza Def con di Las Vegas. Tra gli almeno 15.000 segreti rinvenuti (per “segreti” si intendono dati sensibili come password, chiavi API , token di autenticazione, ecc ..) c’erano centinaia di account associati alla Corte Suprema del Nebraska e ai suoi sistemi IT, nonché dati di accesso ai canali Slack dell’università di Stanford .

Di particolare interesse sono state le oltre mille chiavi API appartenenti ai clienti OpenAI. Tra le organizzazioni che hanno inavvertitamente esposto dati sensibili figurano un importante produttore di smartphone, clienti fintech e una società multimiliardaria di sicurezza informatica.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Demirkapi ha anche creato un sistema automatizzato che revoca i dati compromessi, rendendoli privi di valore per i potenziali aggressori.

    La seconda area di ricerca riguardava le vulnerabilità dei siti web. L’hacker ha scoperto 66.000 siti con vulnerabilità in sottodomini non utilizzati (“dangling”). Tra le persone colpite figurano alcune delle proprietà web più grandi del mondo, compreso un dominio di prova di proprietà del New York Times.

    Per dimostrare i pericoli dei sottodomini vulnerabili, Demirkapi ha condotto un esperimento. Ha pubblicato temporaneamente un articolo satirico sul dominio di prova del New York Times con il titolo provocatorio “Gli Stati Uniti dichiarano guerra alla Russia mentre le tensioni aumentano, inviando onde d’urto attraverso la comunità internazionale”. L’articolo è rimasto disponibile per circa una settimana. Questo esperimento ha mostrato chiaramente come le vulnerabilità possano essere sfruttate per diffondere disinformazione o effettuare attacchi di phishing.

    Per trovare le chiavi segrete, il ricercatore si è rivolto a VirusTotal, un servizio di proprietà di Google che viene generalmente utilizzato per scansionare i file alla ricerca di malware. Utilizzando le regole Retrohunt e YARA, ha analizzato oltre 1,5 milioni di campioni alla ricerca di dati sensibili.

    Per garantire che le chiavi e i segreti trovati fossero aggiornati, Demirkapi ha eseguito le richieste API. Ciò gli ha permesso di confermare che le informazioni scoperte erano ancora attive e potevano essere utilizzate dagli aggressori.

    Per identificare i siti Web vulnerabili, l’esperto ha utilizzato i dati di replica DNS passiva. Di conseguenza, sono stati scoperti più di 78.000 servizi cloud non protetti associati a 66.000 domini di primo livello.

    Alon Schindel, vicepresidente della ricerca sulle minacce informatiche presso Wiz, osserva che esiste un’enorme varietà di dati sensibili che gli sviluppatori possono inavvertitamente lasciare nel codice o rivelare durante il processo di creazione del software. Questi includono password, chiavi di crittografia, token di accesso API, segreti del provider cloud e certificati TLS. Schindel sottolinea che il pericolo principale è che la loro divulgazione possa fornire agli aggressori un accesso non autorizzato a basi di codice, database e altre infrastrutture digitali riservate.

    Secondo Demirkapi, individuare i problemi è solo metà dell’opera. Ha anche adottato misure critiche per correggere i problemi riscontrati. Ad esempio, OpenAI ha segnalato più di 1.000 chiavi API esposte, dopodiché l’azienda ha fornito una chiave API pubblica per revocare automaticamente i dati compromessi.

    Tuttavia, non tutte le aziende erano pronte a collaborare. GitHub e Amazon Web Services hanno negato l’accesso agli strumenti di reporting esistenti. Ciò ha costretto Demirkapi a trovare soluzioni alternative, incluso l’utilizzo di GitHub per caricare automaticamente i segreti per abilitare il sistema di scansione dei dati sensibili della piattaforma .

    Daiping Liu, responsabile della ricerca senior presso Palo Alto Networks, afferma che il problema dei domini è diffuso. In ogni momento, decine di migliaia di documenti sono a rischio, ha affermato. Liu aggiunge che i domini più grandi potrebbero essere particolarmente vulnerabili a questo problema perché sono più difficili da gestire e sono più soggetti a errori umani. Questo spiega perché anche giganti come il New York Times potrebbero essere in pericolo.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

    In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

    GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

    AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...