Un investigador de seguridad, Ben Zimmermann, ha descubierto 39 claves de administrador de Algolia expuestas en sitios de documentación de proyectos de código abierto, lo que podría permitir a atacantes manipular los resultados de búsqueda, eliminar índices completos o incluso redirigir a usuarios a sitios maliciosos. Zimmermann inicialmente reportó un problema similar en vuejs.org en octubre pasado, lo que le llevó a investigar más a fondo el programa DocSearch de Algolia, un servicio gratuito para indexar documentación de código abierto. Utilizando scripts, Zimmermann rastreó aproximadamente 15,000 sitios web y revisó repositorios de GitHub, encontrando que 35 de las claves comprometidas provenían de la extracción directa del código fuente de los sitios web, mientras que las restantes se encontraron en el historial de Git. Entre los proyectos afectados se encuentran Home Assistant (con 85,000 estrellas en GitHub) y KEDA, un proyecto de la Fundación CNCF. Aunque SUSE/Rancher y Home Assistant han respondido a la alerta y están tomando medidas correctivas, Algolia aún no ha respondido a la notificación de Zimmermann, y las claves comprometidas permanecen activas. El problema radica en que muchos sitios utilizan accidentalmente claves de administrador en lugar de las claves de solo búsqueda proporcionadas por Algolia.
Noticias agregadas con IA