Algolia 検索 API キーが漏洩:Slack/Zendesk などのユーザーにデータ流出の恐れ

Thousands of Algolia API Keys Could Expose Users’ Data

2022/11/21 InfoSecurity — Algolia の API キー/アプリ ID が漏洩している、1,500 以上のアプリが発見され、それらのユーザー・データが流出する可能性があることが判明した。CloudSEK のセキュリティ研究者たちは、公開前のデータを InfoSecurity と共有した。上記のアプリのうちの 32個が、重要な Admin の秘密をハードコードしていることが判明している。そして、このチームは、57個のユニークな Admin キーを特定したと付け加えている。

Web サイト/モバイル/音声などのアプリ内から、Algolia の API (Application Programming Interface) を利用することで、開発者は検索/発見/推薦などの機能を実装できる。


Stripe/Slack/Medium/Zendesk などの、世界中の約 11,000 社で採用される Algolia API は、年間で 1.5 trillion の検索クエリを管理していると報告されている。

CloudSEK は、「管理者 API キーを使用すれば、事前に定義された各種 Algolia API キーである、検索専用 API キー/監視 API キー/使用状況 API キー/分析 API キーなどにアクセスできる」と警告している。

つまり、悪用に成功した脅威アクターは、ユーザーの個人情報の読み取り/ユーザー情報の修正や削除を行い、ユーザーの IP アドレスなどの情報にアクセスし、ユーザー・アプリ使用状況や分析情報などを閲覧できるようになる。

有効な 57 種類の Admin API キーが流出した、 32件のアプリの大半を占めていたのは、ショッピング/教育/ライフスタイル/ビジネス/医療関連の企業だった。

CloudSEK は、「このインシデントは、統合を提供する Algolia などの欠陥ではなく、アプリ開発者が API キーの取り扱いを誤っていることを示している。つまり、決済ゲートウェイ/AWS サービス/オープン・ファイアベースなどに関連する、セキュリティの懸念に対しては、それぞれのユーザー企業側で対処する必要がある」と説明している。

CloudSEK の共同創業者である Syed Shahrukh Ahmad は、「この問題に対応する開発者は、公開されたキーを全て削除し、新しいキーを生成し、安全に保管するよう助言している」と Info Security に述べている。また CloudSEK は、ハードコードされた API キーについて Algolia に通知し、該当するアプリ・ベンダーにも通知したとしている。

CloudSEK の Algolia API キーに関する最新のレポートは、このリンクで 11月22日から一般に公開される予定だ。このレポートは、Bora Design の Cybersecurity Content Writer である John Iwuozor による 10月の分析に続くもので、API 攻撃が 2022年の脅威ベクトルのナンバーワンに浮上したことを示唆している。

Algolia は、API ベースの全文検索システムであり、文中にもあるように、Stripe/Slack/Medium/Zendesk などで使用されているとのことです。2019年の Qiita の記事「イケてる全文検索サービス Algolia を触ってみよう」を読むと、イメージが掴みやすいと思います。API に関連するインシデントが、けっこうな頻度で発生しています。よろしければ、カテゴリ API を、ご参照ください。また、以下の記事も、お薦めです。

研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?
OWASP API Top 10 [+] に注目:Shadow API を狙う 50億のリクエストなどの脅威
Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う

%d bloggers like this: