API密钥在1Password开发者网站JavaScript文件中暴露

事件概述

安全研究人员sudosu001于2025年1月6日向1Password报告了一个安全漏洞：在其公开开发者文档站点(developer.1password.com)的JavaScript文件中发现了一个暴露的API密钥。

技术细节

漏洞发现过程

1. 访问URL: https://developer.1password.com/assets/js/main.43f8ae7b.js
2. 检查文件内容
3. 在JavaScript代码中以明文形式定位到暴露的API密钥
4. 确认该密钥可在无任何认证或限制的情况下访问

密钥性质分析

该API密钥用于支持Algolia搜索功能，是：

• 公开的客户端密钥
• 权限严格受限
• 无法访问任何敏感数据或特权操作

安全影响评估

潜在风险

攻击者可能利用暴露的API密钥：

• 访问或操作相关服务的敏感数据
• 执行未授权操作或请求，可能导致数据泄露或服务中断
• 如果密钥关联关键资源，可能造成声誉损害

官方回应与处理

1Password安全团队确认：

• 此密钥是故意嵌入以实现搜索功能
• 符合Algolia推荐的面向公众搜索集成实践
• developer.1password.com不在漏洞赏金计划范围内
• 报告被标记为"不适用"并关闭

重要启示

• 前端代码中API密钥的管理需要谨慎
• 公开密钥应严格限制权限
• 安全研究人员应仔细审查项目范围后再提交报告
• 报告时应明确说明业务影响和攻击场景

报告最终于2025年7月18日披露，严重性评级为无(0.0)，未分配CVE ID