Назад до monobank Back to monobank

Безпека токенів Monobank: Захист вашого X-Token від витоку через Google Dorks

Публічне API від Monobank — один із найзручніших інструментів для українських підприємців (ФОП) та розробників. Він дозволяє автоматично отримувати виписки, контролювати баланс "Банок" для донатів та проводити аналітику. Але цей доступ потребує дбайливого ставлення до авторизаційного токена (X-Token).

Monobank Token Security: Defending Your X-Token from Google Dorks

The public API provided by Monobank is highly regarded by Ukrainian entrepreneurs and developers. It allows for automated statement retrieval, donation "Banka" monitoring, and financial analytics. However, utilizing this API requires careful management of your authorization token (X-Token).

---

1. Чому X-Token такий важливий?

Токен доступу Monobank дає право на читання всієї вашої фінансової історії. Якщо він потрапить у руки зловмисників, вони зможуть бачити баланси ваших карток, рух коштів, імена ваших контрагентів та клієнтів.

Хоча API Monobank (для фізичних осіб) має здебільшого права лише на читання (Read-Only) і не дозволяє переказувати гроші напряму, витік фінансових даних — це серйозний удар по конфіденційності.

1. Why is the X-Token Critical?

A Monobank access token grants full read access to your financial history. If it falls into the hands of malicious actors, they can monitor your card balances, transaction flow, and the names of your clients or counterparties.

Even though the Monobank Personal API is primarily Read-Only and does not permit direct fund transfers, leaking your financial footprint is a severe privacy breach.

---

2. Як хакери знаходять ваші токени? (Google Dorks)

Більшість скриптів пишуться на Python або Node.js, де токен зберігається у файлі .env. Якщо ви розгортаєте свій скрипт на дешевому хостингу чи VPS без належного налаштування, ваш веб-сервер може відкрити цей файл для всього світу.

Хакери використовують пошукову систему Google для масового вилову таких файлів. Ця техніка називається Google Dorks. Зловмисник вводить у пошук специфічний запит, наприклад:

inurl:/.env "MONOBANK_TOKEN" або inurl:/.env "X-Token"

Якщо ваш сервер "світить" файлом .env, Google його проіндексує, і хакер отримає його просто перейшовши за посиланням vash-sayt.com/.env.

2. How Hackers Expose Your Tokens (Google Dorks)

Most integration scripts are written in Python or Node.js, storing the token inside a .env file. If you deploy your script to a cheap hosting provider or a raw VPS without proper configuration, your web server might serve this file to the entire world.

Attackers leverage Google's search engine to mass-harvest these files using a technique called Google Dorks. A bad actor enters a highly specific query like:

inurl:/.env "MONOBANK_TOKEN" or inurl:/.env "X-Token"

If your server inadvertently exposes the .env file, Google indexes it. The hacker then extracts it simply by visiting your-site.com/.env.

---

3. Як закрити доступ до .env (Apache та Nginx)

Незалежно від того, де лежить ваш код, ви повинні заборонити веб-серверу віддавати файли, що починаються з крапки (dotfiles).

Для Nginx:

Додайте цей блок у конфігураційний файл вашого сайту:

3. Securing .env Access (Apache & Nginx)

Regardless of where your code resides, you must strictly command your web server to never serve files starting with a period (dotfiles).

For Nginx:

Add the following block to your site's configuration file:

location ~ /\. {
    deny all;
}

Для Apache:

Додайте це правило у файл .htaccess у кореневій папці вашого сайту:

For Apache:

Insert this rule into the .htaccess file at your web root:

<FilesMatch "^\.">
    Order allow,deny
    Deny from all
</FilesMatch>

---

4. Висновок та підтримка проєкту

Завжди тримайте свої секрети подалі від публічних папок (public/, html/) та регулярно перевипускайте свій X-Token у додатку Monobank, якщо підозрюєте витік даних.

Якщо ви ще не користуєтеся послугами банку, або хочете відкрити рахунок ФОП, ви можете зареєструватися за нашим партнерським посиланням Monobank, щоб підтримати наш ресурс і отримати приємний бонус на рахунок кешбеку!

4. Conclusion & Supporting the Project

Always keep your application secrets outside of public directories (public/, html/) and routinely regenerate your X-Token via the Monobank app if you suspect any compromise.

If you aren't a Monobank client yet, or plan to open a sole-proprietor (ФОП) account, you can sign up via our Monobank partner link to support our content and receive a welcome cashback bonus!

Реферальна акція 2026
Referral Promo 2026

Бажаєте відкрити безкоштовну картку?

Want to Open a Free Account?

Отримайте 50 ₴ бонусу на кешбек при реєстрації за посиланням.

Get 50 ₴ signup cashback reward by opening a card via our link.

Отримати картку з бонусом 50 ₴ Claim Card + 50 ₴ Bonus