Intruder chamou a atenção do mercado ao revelar o que encontrou ao analisar milhões de aplicativos em busca de “segredos” deixados sem querer no código que roda no navegador. Em um estudo recente, a empresa criou um novo método de detecção e varreu 5 milhões de aplicações, focando em arquivos JavaScript usados no front-end, onde muita gente ainda subestima o risco. O resultado reforça um ponto crítico: quando chaves de API e credenciais acabam embutidas nesses arquivos, elas podem ser copiadas por qualquer pessoa que acesse o site ou o app, abrindo caminho para uso indevido de serviços, consumo fraudulento de recursos, acesso não autorizado a integrações e até vazamentos indiretos. A pesquisa da Intruder ajuda a dimensionar um problema que já existia, mas cuja escala era pouco clara, e serve de alerta para empresas que dependem de APIs e integrações em nuvem para operar. Dica de prevenção: trate qualquer JavaScript entregue ao usuário como “público” e nunca coloque nele chaves ou segredos. Use variáveis e cofres de segredos no servidor, rotacione chaves com frequência e monitore o uso para detectar abuso rapidamente. No fim, o estudo da Intruder mostra que o risco é real e pode estar escondido em detalhes do dia a dia; para reduzir exposição, conheça os serviços da LC SEC em Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização, Plano Diretor de Segurança e SGSI (políticas/processos/procedimentos) em lcsec.io
Fontes: https://www.bleepingcomputer.com/news/security/what-5-million-apps-revealed-about-secrets-in-javascript/