Para peneliti menemukan 1.550 aplikasi seluler membocorkan kunci API Algolia. Dari aplikasi tersebut, 32 diantaranya mengungkapkan rahasia admin, termasuk 57 kunci admin, memberi penyerang cara untuk mengakses informasi pengguna yang sensitif atau mengubah catatan dan pengaturan indeks aplikasi.
Penemuan eksposur ini berasal dari perusahaan keamanan siber yang berbasis di Singapura, CloudSEK.
Algolia API (Application Program Interface) adalah platform berpemilik untuk mengintegrasikan mesin telusur dengan fitur penemuan dan rekomendasi di situs web dan aplikasi yang digunakan oleh lebih dari 11.000 perusahaan.
Sistem menggunakan lima kunci API untuk Admin, Penelusuran, Pemantauan, Penggunaan, dan Analitik. Dari kunci tersebut, hanya Penelusuran yang dimaksudkan untuk publik dan tersedia di kode front-end, membantu pengguna melakukan kueri penelusuran di aplikasi.
Kunci Pemantauan memberi admin gambaran sekilas tentang status kluster mereka, Penggunaan dan Analitik memberikan statistik penggunaan, sedangkan kunci Admin menawarkan akses ke empat layanan kunci API lainnya, serta yang berikut ini:
- Telusuri/Hapus indeks
- Tambah/Hapus catatan
- Daftar indeks
- Atur pengaturan indeks
- Log akses
- Atribut yang tidak dapat diperbaiki
Menyalahgunakan layanan di atas dapat mengekspos data yang berisi perangkat pengguna dan detail akses jaringan, statistik penggunaan, log pencarian, dan manipulasi informasi terkait.
Pemindai otomatis CloudSEK menemukan bahwa 1.550 aplikasi membocorkan kunci Algolia API dan ID aplikasi, mempertaruhkan akses tidak sah ke informasi internal.
32 aplikasi yang membocorkan kunci Admin API lebih kritis, karena mereka mengekspos penggunanya ke risiko kebocoran data dan database ke modifikasi berbahaya yang dapat menimbulkan kerugian bisnis.
Aplikasi yang memperlihatkan kunci Algolia Admin API memiliki sekitar 3.250.000, dengan beberapa aplikasi masing-masing memiliki lebih dari satu juta unduhan.
Kategori yang paling rentan terkena kunci adalah aplikasi belanja, yang diunduh secara kolektif sebanyak 2,3 juta kali. Sedangkan kategori lain termasuk aplikasi berita, makanan dan minuman, pendidikan, kebugaran, fotografi, gaya hidup, produktivitas, medis, dan aplikasi bisnis, diunduh secara kolektif lebih dari 950.000 kali.
Sumber: Bleeping Computer