Cybernews 研究人员发现，Certy AI 的反诈骗审核系统留下了暴露的环境文件，并泄露了 OpenAI API 密钥等敏感信息。

Certy AI 是一家专门从事商业和网络安全 Web 服务的 IT 公司，它留下了一个可公开访问的环境 (env.) 文件，向攻击者开放。

由于环境。文件充当计算机程序的一组指令，将其开放给任何人都可以暴露关键数据并为威胁行为者提供各种攻击选项。

在我们的研究人员联系他们后，该公司关闭了该文件。我们已联系该公司寻求官方评论，但在发布之前尚未收到回复。

Cybernews 研究团队发现了一个可访问的环境。位于包含 OpenAI API 密钥和 Photoroom API 密钥的 CertyAI 子域中。 OpenAI API 允许企业将 ChatGPT-maker 的服务集成到其网站中，而 Photoroom API 则允许用户编辑图像。

该团队表示，暴露的 API 密钥（包括 OpenAI API 密钥）可能是一个严重的安全漏洞。

研究人员表示：“API 密钥是授予对特定服务或资源的访问权限的敏感凭证，如果它们落入坏人之手，可能会导致未经授权的访问和相关资源的潜在滥用。”

攻击者可能会滥用 OpenAI API 密钥来耗尽所有者资源并造成经济损失。此外，恶意行为者可能出于恶意目的而滥用 API，并损害密钥所有者交互的机密性。

“OpenAI 通常对 API 使用收费。如果有人获得您的密钥并恶意使用它，您可能会因为攻击者消耗您分配的资源而产生意外费用，”该团队表示。

暴露 OpenAI API 密钥可能会让恶意行为者生成不适当或有害的内容，从而可能对公司造成声誉损害。

另一个威胁向量源自 API 密钥的使用方式。如果 OpenAI API 密钥用于处理机密信息，未经授权的访问可能会导致隐私泄露。

该团队建议公司遵循 API 密钥管理最佳实践，以避免攻击者不必要的关注，包括保持 API 密钥安全、定期轮换、根据最小权限原则限制访问，以及监控与密钥相关的任何异常活动。

“如果您怀疑您的 API 密钥已被泄露，建议立即撤销它们并生成新密钥。此外，必须更改凭据，例如与公开的 API 服务相关的电子邮件用户名和密码。”研究人员表示。

文章原文链接:https://www.anquanke.com/post/id/294226