Mencari API Key & Token Bocor (Key Hunting)

Diupdate: 11 Januari 2026 • Kategori: Secrets Management • Level: Advanced

API Key adalah password untuk mesin. Jika bocor, dampaknya bisa lebih parah daripada bocornya password admin manusia, karena API Key seringkali tidak memiliki 2FA (Two Factor Authentication) dan bisa digunakan untuk otomasi serangan.

1. Pattern Matching (Pencocokan Pola)

Banyak penyedia layanan menggunakan format awalan (prefix) yang tetap untuk kunci mereka agar mudah diidentifikasi. Kita bisa memanfaatkan ini dengan Google Dorks.

AWS Access Key ID:

Kunci AWS ID selalu dimulai dengan string AKIA (untuk user standar) atau ASIA (untuk sesi sementara).

intext:"AKIA" filetype:txt
intext:"AKIA" filetype:json
intext:"AKIA" filetype:csv

Stripe API Keys (Payment Gateway):

Stripe menggunakan prefix sk_live_ untuk Secret Key (Sangat Bahaya) dan pk_live_ untuk Publishable Key.

intext:"sk_live_" AND "pk_live_"

Google Maps & Cloud API:

Kunci API Google biasanya dimulai dengan AIzaSy.

intext:"AIzaSy"

Catatan: Menemukan kunci ini sering terjadi, namun pastikan kunci tersebut memiliki batasan (quota limit) atau batasan referer.

Facebook Access Token:

intext:"EAACEdEose0cBA"

2. Private Keys (SSH & RSA)

Ini adalah "kunci kerajaan" untuk akses server. Jika Anda menemukan file Private Key (.pem atau id_rsa), Anda bisa login ke server tersebut tanpa password.

intext:"BEGIN RSA PRIVATE KEY" filetype:pem
intext:"BEGIN OPENSSH PRIVATE KEY"

3. Di Mana Mencari?

Selain file konfigurasi biasa, tempat terbaik untuk mencari key bocor adalah:

Pastebin: `site:pastebin.com "sk_live_"`
JS Files: Developer sering melakukan hardcode key di file JavaScript frontend. `filetype:js intext:"api_key"`
Swagger/OpenAPI docs: Dokumentasi API yang digenerate otomatis kadang menyertakan nilai default. `inurl:swagger.json`

4. Alat Validasi (KeyHacks)

Setelah menemukan Key, bagaimana memastikan itu valid? Jangan coba-coba menggunakannya untuk transaksi ilegal. Gunakan perintah curl non-destruktif untuk memverifikasi.

Misal untuk AWS (menggunakan AWS CLI):

aws sts get-caller-identity --profile profile_temuan

Jika valid, perintah akan mengembalikan info UserID tanpa merusak apapun.

🚀 Audit Kredensial Anda

Cek apakah API Key startup Anda bertebaran di internet. Gunakan kategori "Credentials" di Dork King.

Ke Generator Dork King