Geçtiğimiz Ekim ayında, vuejs.org sitesinde tam yetkili bir Algolia yönetici API anahtarının açıkta olduğu tespit edildi. Bu durum, araştırmacıyı Algolia DocSearch kullanan diğer açık kaynak sitelerinde de benzer sorunların olup olmadığını araştırmaya yöneltti. Algolia DocSearch, açık kaynak dokümantasyonları için ücretsiz bir arama hizmeti sunar ve siteleri tarayarak dizinler. Normalde arama için verilen API anahtarlarının sadece okuma yetkisine sahip olması gerekirken, bazı sitelerde tam yönetici yetkilerine sahip anahtarların kullanıldığı anlaşıldı.Araştırma, Algolia'nın herkese açık docsearch-configs deposunu hedef alarak başladı ve yaklaşık 15.000 dokümantasyon sitesi taranarak gömülü kimlik bilgileri arandı. Bu yöntemle, derleme zamanında enjekte edilen anahtarlar da yakalandı. Ayrıca, GitHub kod araması ve 500'den fazla dokümantasyon sitesinin git geçmişi incelenerek daha önce commit edilip kaldırılmış anahtarlar da tespit edildi. Toplamda 39 yönetici anahtarı bulundu; bunların 35'i frontend taramasından, geri kalan 4'ü ise git geçmişinden elde edildi. Keşif anında bu anahtarların tamamı aktifti. Etkilenen projeler arasında Home Assistant, KEDA ve vcluster gibi geniş çaplı açık kaynak projeler bulunuyor.Bu 39 anahtarın neredeyse tamamı, arama, nesne ekleme, silme, dizin silme, ayarları düzenleme ve dizinleri listeleme gibi geniş yetkilere sahipti. Bu durum, kötü niyetli kişilerin arama dizinindeki kayıtları eklemesine, değiştirmesine veya silmesine, tüm dizini yok etmesine, dizin ayarlarını değiştirmesine ve tüm dizinlenmiş içeriği dışa aktarmasına olanak tanıyordu. Bu tür bir açık, projenin arama sonuçlarını zehirleyebilir, kullanıcıları kimlik avı sitelerine yönlendirebilir veya sitenin arama işlevselliğini tamamen devre dışı bırakabilir. SUSE/Rancher gibi bazı projeler raporu kabul edip anahtarlarını hızla değiştirdi.
Bu tür güvenlik açıkları, geniş çaplı açık kaynak projelerin kullanıcılarını ve veri bütünlüğünü ciddi şekilde riske atabilir.