Darurat API Key: Ribuan Situs Web Bocorkan Kredensial Keamanan Sensitif Tanpa Disadari
Baca dalam 60 detik
- Peneliti dari Universitas Stanford menemukan lebih dari 1.700 kredensial API dan kunci RSA aktif yang terekspos secara tidak sengaja di hampir 10.000 situs web, termasuk platform perbankan dan layanan kesehatan.
- Kebocoran ini umumnya bukan karena kelalaian langsung dari pemrogram, melainkan akibat efek samping dari alat pemaket kode JavaScript dan konfigurasi plugin pihak ketiga yang kurang optimal di server.
- Kunci yang bocor ini sangat krusial karena dapat disalahgunakan oleh peretas untuk mengambil alih infrastruktur digital perusahaan, sehingga para ahli mendesak adanya tanggung jawab bersama untuk memindai token API yang terekspos.
Kredensial keamanan kritis, termasuk kunci privat RSA dan token API, ditemukan terekspos secara tidak sengaja di ribuan situs web di seluruh dunia. Parahnya, celah ini turut menimpa platform milik institusi perbankan hingga penyedia layanan kesehatan.
Melansir studi terbaru yang dipublikasikan pada Senin (23/3/2026), tim peneliti dari Universitas Stanford yang dipimpin oleh Nurullah Demir menganalisis 10 juta halaman web dan menemukan 1.748 kredensial aktif yang terverifikasi. Kunci akses ini berasal dari 14 penyedia layanan raksasa seperti Amazon Web Services (AWS), Stripe, GitHub, dan OpenAI, yang tersebar di hampir 10.000 situs web. Rata-rata, data sensitif ini telah terbuka untuk publik selama 12 bulan, bahkan beberapa di antaranya sudah terekspos hingga lima tahun.
Temuan ini menegaskan bahwa kebocoran bukanlah kesalahan dari perusahaan penyedia layanan komputasi awan, melainkan akibat dari anomali dalam lingkungan pemrograman web modern. Penggunaan alat pembuat bundel (bundler tools) oleh pengembang sering kali memaketkan kode sedemikian rupa sehingga variabel lingkungan yang berisi rahasia ikut terdorong ke sisi klien (client-side).
- Risiko Eksploitasi: Memungkinkan peretas menyamar sebagai server sah, mendekripsi komunikasi privat, hingga mengambil alih kendali administratif infrastruktur cloud perusahaan.
- Skala Terdampak: Melibatkan institusi keuangan global yang penting secara sistemik, pengembang firmware, hingga platform hosting besar.
- Solusi Bersama: Pembuat alat perakitan situs web dan penyedia hosting dituntut merancang sistem yang menyembunyikan kunci rahasia secara otomatis (default), bukan sekadar mengandalkan ketelitian manual pengembang.
Untuk memberikan gambaran yang lebih jelas, berikut adalah rincian persentase sumber dari mana kredensial API tersebut terekspos ke publik menurut hasil pemindaian para peneliti:
| Sumber Kebocoran Kredensial | Persentase Temuan | Penyebab Utama |
|---|---|---|
| Lingkungan JavaScript | 84% | Efek samping pemrosesan bundler tools pada kode |
| Sumber Pihak Ketiga | 16% | Konfigurasi buruk pada plug-in atau skrip eksternal |
