API-nøgle var væk på fem minutter

Artiklen blev oprindeligt publiceret den 7/1/2015

En udvikler kom ved en fejl til at lægge sin API-nøgle til Amazon Web Services op på Github. Han fjernede den igen efter fem minutter, men it-kriminelle havde allerede nået at finde og misbruge den.

API-nøglen er penge værd: Den giver adgang til at starte nye services, der skal betales af den, der har fået udstedt nøglen.

Dagen efter fandt udvikleren, Andrew Hoffman, ud af, at ukendte bagmænd havde startet omkring 140 servere på hans konto.

Han skriver i et blogindlæg, at hans API-nøgle sandsynligvis er blevet fundet af et automatiseret program, der løbende kigger efter nøgler. Det oplyste Amazons kundeservice, da han talte med dem.

De kriminelle brugte sandsynligvis serverne til at danne Bitcoins. Prisen for Andrew Hoffman blev på 2.375 dollars.

Udvikleren var dog så heldig, at Amazon valgte at droppe regningen.

Anbefaling
Undlad at lægge API-nøgler i filer, der uploades til Github.

Links