Press Release

Étude sur la prolifération des secrets API révèle 18 000 secrets API exposés, dont 20 millions de dollars en jetons Stripe vulnérables

  • Dans le cadre d'une analyse approfondie de 1 million de domaines populaires, l'équipe de recherche d'Escape a découvert plus de 18 000 secrets API exposés. Parmi ceux-ci, 41 % ont été jugés hautement critiques, mettant en évidence le défi généralisé de la prolifération des secrets API.
  • Les risques financiers sont significatifs, car les jetons financiers exposés et les clés API, dont 20 millions de dollars en jetons Stripe vulnérables, posent des risques potentiels d'exploitation.


Paris, mercredi 24 janvier 2024  Escape, une plateforme de sécurité API, a annoncé aujourd'hui les résultats de sa recherche sur la prolifération des secrets API en 2024. La recherche est basée sur l'analyse détaillée d'Escape portant sur 1 million de domaines les plus populaires au début de 2024.

L'équipe de recherche en sécurité d'Escape a analysé 189,5 millions d'URL et a trouvé plus de 18 000 secrets API exposés. 41 % des secrets exposés étaient hautement critiques. C'est-à-dire qu'ils pouvaient entraîner des risques financiers importants pour les organisations, les jetons financiers exposés et les clés API incluant 20 millions de dollars en jetons Stripe vulnérables.

Les secrets exposés incluent des centaines de jetons Stripe, GitHub/GitLab, des clés privées RSA, des clés OpenAI, des jetons AWS, des clés secrètes Twitch, des clés de cryptomonnaie, des jetons X (anciennement Twitter), ainsi que des webhooks Slack et Discord.

Des rapports récents, y compris celui de GitGuardian sur "L'État de la prolifération des secrets", indiquent une augmentation de 67 % de la prolifération des secrets en 2023 seulement, avec 10 millions de nouveaux cas d'exposition de secrets sur GitHub. Ce problème va au-delà de GitHub, affectant tous les aspects du développement et de l'exploitation de logiciels.

Notre recherche aborde le défi croissant de la prolifération des secrets API. Au-delà du code public, notre attention se porte sur les applications du monde réel, garantissant une compréhension globale des vulnérabilités API. La diversité des secrets exposés, des clés de service AI aux outils d'accès financier et de communication, souligne le défi généralisé de la sécurisation des informations sensibles. - Tristan Kalos, PDG d'Escape

Contrairement à d'autres rapports, le crawler web d'Escape a analysé les applications dans leurs scénarios d'utilisation réelle, examinant tout, des API aux interfaces, y compris les éléments en arrière-plan comme JavaScript. Cette approche montre comment et où les clés et jetons secrets API sont exposés dans des environnements du monde réel, et non seulement dans des référentiels de code.

Les incidents de 2023, dont la fuite de la clé de consommateur du compte Microsoft et la violation par un fournisseur tiers d'OpenSea, illustrent parfaitement comment les secrets peuvent être exploités dans des attaques.

Dans le cas de Microsoft, une cyberattaque impliquait l'acteur de menace persistante avancée (APT) Storm-0558, qui a obtenu l'accès à des données de courrier électronique non classifiées de divers organismes gouvernementaux. Cela a été réalisé en découvrant une clé de consommateur du compte Microsoft divulguée, qui a permis à l'acteur de menace de falsifier des jetons d'accès pour les comptes de messagerie d'entreprise. Cet incident souligne l'importance d'une manipulation sécurisée et d'une rotation régulière des clés API et des jetons d'accès.

Dans un cas plus récent, OpenSea, une place de marché NFT, a informé ses clients d'une violation avec un fournisseur tiers. La violation de données pourrait avoir un impact significatif, OpenSea étant la deuxième plus grande place de marché de jetons non fongibles (NFT) en volume d'échanges (36,5 %) après Blur (56,8 %), lancée il y a seulement un an. Cet incident souligne les risques associés aux intégrations tierces et l'importance de sécuriser les jetons API qui donnent accès à de tels services.

Cette exposition étendue des secrets API souligne un problème de sécurité critique. Des actions immédiates et stratégiques sont nécessaires. Les entreprises doivent reconnaître la gravité de la prolifération des secrets et mettre en œuvre des mesures rigoureuses pour y remédier. Centraliser la gestion des jetons, appliquer des politiques de rotation, segmenter l'accès, intensifier la formation en sécurité et tirer parti d'outils de test automatisés sont des étapes essentielles pour atténuer ces risques.

A propos d'Escape

Fondée en 2020 par Tristan Kalos et Antoine Carossio, Escape est une start-up experte en cybersécurité, spécialisée dans la sécurisation des applications grâce à une plateforme combinant des capacités de surveillance de la surface d'attaque (ASM) avec des tests dynamiques de sécurisation des applications (DAST). Cette solution permet aux développeurs de tester la sécurité et la fiabilité de leurs applications dans le cloud, pendant le processus de développement, avant et après leur publication. Escape est déjà utilisé pour sécuriser des milliers d'APIs à l’échelle mondiale. Plus d'informations sur : www.escape.tech

Ressources supplémentaires

Contact Media

Alexandra Charikova
+33 6 34 21 25 23 
alexandra@escape.tech

The only DAST that works with your modern stack and tests business logic instead of missing headers
Book a live demo
Platform
API Discovery & Security
Business Logic DAST
GraphQL Security
Company
About
We're hiring
Legal
Privacy policy
Terms of service
Resources
Blog
Case studies
Docs
Proprietary Business Logic Security Testing Algorithm
API Security Academy
API Security Checklist
The Elephant in AppSec Podcast
State of GraphQL Security 2024
State of Public APIs 2023
GraphQL Security
GraphQL Armor
ChatGPT Security
Connect
Book a live demo
Slack support
Escape vs Competitors
Escape vs Noname Security
Escape vs Salt Security
Escape vs Qualys
Escape vs StackHawk
Escape vs Bright Security
Escape vs Rapid7
Escape vs Invicti
© 2025 Escape