数万个网站面临数据泄露风险

Cybernews 最新研究发现，全球有超过 58,000 个独立网站存在容易遭受数据泄露甚至完全被接管的威胁。

研究小组通过对公开暴露的环境文件（.env）进行了调查，这些文件包含密码、API 密钥和网站访问数据库、邮件服务器、支付处理器、内容管理系统和其他各种服务所需的其他机密。

对公开索引的扫描显示，数千名网站所有者没有对密钥进行保护。导致这些网站不仅容易受到未经授权的访问和数据泄露，而且访问者也面临许多危险。

对最新环境文件索引的分析揭示了 58,364 个独立网站累计暴露的 1,141,004 个机密数据集。最常暴泄露是数据库凭证，存在于超过 27,000 个网站的 .envs 中。在这种情况下，只有 12% 的数据库是远程托管的，因此很容易被利用。

研究人员指出：“数据库通常存储大量敏感信息，例如用户的私人信息或管理员帐户信息。数据库凭证泄露可能会暴露网站用户的姓名、地址、密码、订单、操作等。”

第二种最常泄露的类型是应用程序密钥，通常用于加密和解密 cookie 和其他敏感信息。理论上，应用程序密钥可用于会话劫持、数据窃取和其他攻击。

超过 10,000 个网站都存在电子邮件凭证。这些凭证可用于账户接管尝试，也可用于网络钓鱼活动，以使邮件看起来更合法。研究团队还发现了数百个用于访问支付处理器的 API 密钥，其中包括 140 个有效的 Stripe API 密钥和 100 多个 PayPal API 密钥。

受影响的网站（17,990 个）大部分托管在美国。然而，世界各地的网站都存在泄露问题。研究人员发现，德国有 7091 个配置错误的网站、印度有 3290 个、法国有 2916 个。其他泄露网站超过 1,000 个的国家包括新加坡、中国、英国、俄罗斯、日本和荷兰。

研究人员补充道：“据估计，互联网上有大约 10 亿个网站，其中只有 2 亿个是活跃的。这可能意味着我们只探索了整个网络的一小部分，即 0.0002%。然而，这只是从公共索引服务收集的信息，没有以任何方式连接到任何易受攻击的服务器。”

.env 文件暴露的原因有很多，包括版本控制失误、Web 服务器配置错误、访问控制不充分、部署错误以及人为错误或疏忽。研究小组还发现，大部分泄漏凭据的数据库与网站托管在同一服务器上。

“我们还发现了数千个数据库托管在远程服务器上的案例，但泄漏的凭据可以立即被恶意行为者使用。在没有任何 IP 白名单的情况下，任何找到正确凭证的人都可以登录数据库，读取客户和公司的私人信息。"

他们建议对 .env 文件和数据库使用安全加密的存储解决方案和适当的访问控制。