Нове дослідження виявило, що організації в різних чутливих секторах, включаючи уряди, телекомунікації та критичну інфраструктуру, вставляють паролі та облікові дані в онлайн-інструменти, такі як JSONformatter і CodeBeautify, які використовуються для форматування та перевірки коду.
Компанія з кібербезпеки watchTowr Labs заявила, що зібрала набір даних із понад 80 000 файлів на цих сайтах, виявивши тисячі імен користувачів, паролів, ключів автентифікації сховища, облікових даних Active Directory, облікових даних бази даних, облікових даних FTP, ключів хмарного середовища, інформації про конфігурацію LDAP, ключів API служби підтримки, ключів API кімнат для нарад, записів сеансів SSH та всіх видів особистих даних. інформації.
Це включає п’ять років історичного вмісту JSONFormatter і один рік історичного вмісту CodeBeautify, загальною сумою понад 5 ГБ збагачених анотованих даних JSON.
Організації, які постраждали від витоку, охоплюють критично важливу національну інфраструктуру, уряд, фінанси, страхування, банківську справу, технології, роздрібну торгівлю, аерокосмічну діяльність, телекомунікації, охорону здоров’я, освіту, подорожі та, за іронією долі, сектори кібербезпеки.
«Ці інструменти надзвичайно популярні, часто з’являються у верхній частині результатів пошуку за такими термінами, як «JSON beautify» і «найкраще місце для вставлення секретів» (ймовірно, неперевірено) — і використовуються різними організаціями, організаціями, розробниками та адміністраторами як у корпоративних середовищах, так і для особистих проектів», — сказав дослідник безпеки Джейк Нотт у звіті, опублікованому для The Hacker News.
Обидва інструменти також пропонують можливість зберігати відформатовану структуру або код JSON, перетворюючи їх на напівпостійне посилання, яким можна ділитися з іншими, фактично дозволяючи кожному, хто має доступ до URL-адреси, отримати доступ до даних.
Як це трапляється, сайти не лише надають зручну сторінку «Останні посилання» для переліку всіх нещодавно збережених посилань, а й дотримуються передбачуваного формату URL-адреси для посилання, яким можна поділитися, таким чином полегшуючи зловмисникам отримання всіх URL-адрес за допомогою простого сканера –
- https://jsonformatter.org/{id-here}
- https://jsonformatter.org/{formatter-type}/{id-here}
- https://codebeautify.org/{formatter-type}/{id-here}
Деякі приклади витоку інформації включають Jenkins secrets, компанію з кібербезпеки, яка розкриває зашифровані облікові дані для конфіденційних файлів конфігурації, інформацію Know Your Customer (KYC), пов’язану з банком, облікові дані великої фінансової біржі AWS, пов’язані з Splunk, і облікові дані Active Directory для банку.
Що ще гірше, компанія заявила, що завантажила підроблені ключі доступу до AWS до одного з цих інструментів і виявила зловмисників, які намагалися зловживати ними через 48 годин після збереження. Це вказує на те, що цінна інформація, яка розкривається через ці джерела, збирається іншими сторонами та перевіряється, створюючи серйозні ризики.
«Здебільшого тому, що хтось уже використовує це, і все це дуже, дуже безглуздо», — сказав Нотт. «Нам не потрібно більше агентських платформ, керованих ШІ; нам потрібно менше критичних організацій, які вставляють облікові дані на випадкові веб-сайти».
Після перевірки The Hacker News і JSONFormatter, і CodeBeautify тимчасово вимкнули функцію збереження, стверджуючи, що вони «працюють над покращенням» і впроваджують «розширені заходи запобігання вмісту NSFW (Not Safe For Work)».
У watchTowr заявили, що функція збереження була відключена цими сайтами, ймовірно, у відповідь на дослідження. «Ми підозрюємо, що ця зміна відбулася у вересні у відповідь на повідомлення від низки постраждалих організацій, про які ми сповістили», — додали в ньому.