Mastodawn

📢 Exposition massive de clés API sur le web : 1 748 credentials actifs identifiés sur 10M de pages
📝 ## 🔬 Contexte

Publication de recherche académique (arXiv, mars 2026) conduite...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-01-exposition-massive-de-cles-api-sur-le-web-1-748-credentials-actifs-identifies-sur-10m-de-pages/
🌐 source : https://arxiv.org/abs/2603.12498?is=e4f6b16c6de31130985364bb824bcb39ef6b2c4e902e4e553f0ec11bdbefc118
#API_keys #Gitleaks #Cyberveille

Exposition massive de clés API sur le web : 1 748 credentials actifs identifiés sur 10M de pages

🔬 Contexte Publication de recherche académique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 Périmètre et méthodologie Les chercheurs ont utilisé TruffleHog (v3.90.8) pour détecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de données. Seuls les credentials vérifiés via les API officielles des fournisseurs ont été retenus, constituant une borne inférieure des expositions réelles. 14 types de services ont été analysés : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly.

CyberVeille

CyberVeille.ch Mar 30

📢 Des chercheurs découvrent 1 748 clés API valides exposées sur 10 millions de sites web
📝 ## 🔍 Contexte

Publié le 27 mars 2026 par The Register, cet article rend compte d'une publication de recherche académique (pre...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-des-chercheurs-decouvrent-1-748-cles-api-valides-exposees-sur-10-millions-de-sites-web/
🌐 source : https://www.theregister.com/2026/03/27/security_boffins_harvest_bumper_crop/
#API_keys #TTP #Cyberveille

Des chercheurs découvrent 1 748 clés API valides exposées sur 10 millions de sites web

🔍 Contexte Publié le 27 mars 2026 par The Register, cet article rend compte d’une publication de recherche académique (preprint) intitulée “Keys on Doormats: Exposed API Credentials on the Web”, réalisée par des chercheurs de Stanford, UC Davis et TU Delft. 📊 Méthodologie et résultats Les chercheurs ont analysé environ 10 millions de sites web à l’aide de l’outil TruffleHog, en se concentrant sur l’analyse dynamique de sites en production (et non sur les dépôts de code). Ils ont découvert :

CyberVeille

Alexandre Dufresne Feb 26

It's like AWS security defaults all over again... 🤦‍♂️

Google Map API keys by default unrestricted, giving any visitor to your website with an embedded map also access to your other Google things, like the Gemini API! I can't image how confused I would've been had my bill ballooned due to visitors hammering Gemini with my, by design publicly exposed, Maps API key. 😬

https://trufflesecurity.com/blog/google-api-keys-werent-secrets-but-then-gemini-changed-the-rules

#gemini #api_keys #security

Google API Keys Weren't Secrets. But then Gemini Changed the Rules. ◆ Truffle Security Co.

Google spent over a decade telling developers that Google API keys (like those used in Maps, Firebase, etc.) are not secrets. But that's no longer true.

Habr Feb 23

Три аккаунта ChatGPT и один прокси: как перестать следить за лимитами

У меня три ChatGPT-аккаунта. На каждом свои лимиты, своя история, свои причины существовать. И на каждом они кончаются в самый неподходящий момент. Переключаться вручную то ещё удовольствие. Особенно когда работаешь через Codex CLI или OpenCode и хочешь просто писать код, а не следить за тем, на каком аккаунте сейчас крутится запрос. Именно под эту боль и написан codex-lb.

https://habr.com/ru/articles/1002258/

#chatgpt #openai #proxy #load_balancer #codex #rate_limit #fastapi #opencode #api_keys #docker