.png){kind=small}
كشف فريق بحثي من جامعات ستانفورد وكاليفورنيا ديفيس ودلفت للتكنولوجيا عن وجود 1,748 بيانات اعتماد API صالحة ومكشوفة بشكل علني عبر ما يقارب 10,000 صفحة ويب، بعد تحليل ديناميكي لـ 10 ملايين موقع إلكتروني، مما يمثل تهديداً أمنياً جسيماً للبنية التحتية الحيوية والشركات متعددة الجنسيات والوكالات الحكومية التي تعتمد على هذه الخدمات.
واستخدم الباحثون أداة المسح مفتوحة المصدر "TruffleHog" لتحليل بيانات الزحف التي جمعها "HTTP Archive" في سبتمبر 2025، حيث عثروا على مفاتيح وصول حساسة لخدمات مثل "Amazon Web Services" و"GitHub" و"Stripe" و"OpenAI" مضمنة في موارد متاحة للعموم، مما يمنح المهاجمين وصولاً برمجياً مباشراً إلى منصات السحابة ومزودي الدفع وخدمات الاتصالات الحيوية.
وقال نور الله ديمير، طالب الدكتوراه في جامعة ستانفورد والمؤلف المراسل للدراسة: "ما وجدناه كان بيانات اعتماد API شديدة الحساسية متاحة علناً على صفحات ويب عامة، تعمل كرموز وصول تسمح للتطبيقات بالتفاعل مع خدمات طرف ثالث، مما يمنح وصولاً مباشراً إلى بنى تحتية حيوية"، في تصريح يوضح حجم الخطر الناجم عن هذه الممارسة غير الآمنة في إدارة الأسرار الرقمية.
وتشكلت بيانات اعتماد "AWS" وحدها أكثر من 16% من جميع حالات الكشف المؤكدة، وظهرت على أكثر من 4,693 موقع ويب، بينما هيمنت خدمات السحابة والدفع على غالبية التسريبات، مع ظهور متكرر لمنصات البريد الإلكتروني والاتصالات مثل "SendGrid" و"Twilio"، مما يعكس اعتماداً واسعاً على هذه الخدمات مع إدارة غير آمنة لمفاتيح الوصول الخاصة بها.
ووجدت الدراسة أن 84% من بيانات الاعتماد المكشوفة ظهرت ضمن موارد "JavaScript"، حيث كان 62% منها مضمنة داخل ملفات محزومة تم إنشؤها بواسطة أدوات البناء مثل "Webpack"، بينما شكلت ملفات "HTML" و"JSON" 8% و7% على التوالي، مما يشير إلى أن معظم التسريبات تحدث خلال عمليات البناء والنشر الديناميكية وليس في الكود المصدري الثابت الذي تركز عليه أدوات المسح التقليدية.
وأظهر التحليل التاريخي أن بيانات الاعتماد المكشوفة ظلت متاحة للجمهور لمدة 12 شهراً في المتوسط، مع بقاء بعضها لسنوات، مما يعكس فجوة كبيرة في الوعي الأمني وممارسات الاستجابة للحوادث، إلا أن جهود الإفصاح المسؤول التي قادها الفريق البحثي أدت إلى انخفاض عدد بيانات الاعتماد المكشوفة إلى النصف في غضون أسبوعين تقريباً بعد الاتصال بالمؤسسات المتضررة.
وتضمنت الحالات البارزة التي اكتشفها الباحثون تسرب بيانات اعتماد سحابية تابعة لمؤسسة مالية عالمية مصنفة كـ"ذات أهمية نظامية"، مما أتاح وصولاً مباشراً إلى خدمات البنية التحتية الأساسية بما في ذلك قواعد البيانات وأنظمة إدارة المفاتيح، بالإضافة إلى اكتشاف رموز وصول لمستودعات "GitHub" تابعة لمطور برمجيات مسؤول عن برامج تشغيل لأجهزة طائرات بدون طيار، مما يهدد سلسلة التوريد العالمية للأجهزة المتصلة.
ويُنصح مطورو الويب وفرق الأمن في المنطقة العربية بمراجعة ممارسات إدارة الأسرار الرقمية، واعتماد فحص تلقائي لحزم "JavaScript" المولدة أثناء البناء، وعزل مفاتيح الوصول الحساسة في بيئات الخادم الخلفي، مع تفعيل آليات الدوران التلقائي للمفاتيح والاستجابة السريعة للإفصاحات الأمنية، خاصة في ظل تزايد الهجمات التي تستهدف البنية التحتية الرقمية في الأسواق الناشئة.
