Mii de secrete au fost scurse pe platforme de formatare a codului, ca urmare a faptului că utilizatorii JSONFormatter și CodeBeautify au expus accidental parole, chei de autentificare, configurații interne, chei private și alte informații extrem de sensibile.
WatchTowr, o companie specializată securitate cibernetică, avertizează că aceste platforme online sunt folosite frecvent pentru a „curăța” sau „înfrumuseța” codul, dar mulți utilizatori ajung să încarce acolo date pe care nu ar trebui să le expună.
GitHub a raportat anul trecut aproape 39 de milioane de secrete scurse accidental pe platformă. Iar odată ce un secret ajunge online, rămâne practic compromis pentru totdeauna.
Dar problema nu apare doar în proiectele publice încărcate pe GitHub. Orice platformă online folosită fără atenție poate deveni o sursă de scurgeri. Iar atacatorii urmăresc activ astfel de locuri.
WatchTowr a analizat aproximativ 80.000 de fișiere JSON salvate pe JSONFormatter și CodeBeautify și a descoperit mii de informații confidențiale: parole, chei, tokenuri, fișiere de configurare, sesiuni SSH, solicitări API sensibile și date personale.
Într-un caz, un utilizator a încărcat chiar toate credențialele din propriul AWS Secrets Manager într-o platformă de formatare.
Organizații din domenii critice, expuse
Datele scurse aparțin unor organizații din numeroase industrii: tehnologie, securitate cibernetică, infrastructură critică, instituții guvernamentale, finanțe, sănătate, asigurări, educație, telecomunicații, transport și altele.
Problema principală nu este folosirea acestor instrumente pentru formatarea codului.
Problema apare când utilizatorii salvează conținutul pentru a genera linkuri de partajare, iar platformele permit oricui să răsfoiască aceste fișiere salvate recent.
WatchTowr a accesat secțiunile „Recent Links” ale ambelor platforme și a descărcat peste 5 GB de date JSON, conținut strâns de-a lungul mai multor ani.
Compania a contactat unele organizații afectate și a colaborat cu echipe CERT pentru a alerta și alte entități.
În plus, cercetătorii au testat situația introducând date false în astfel de platforme — și au descoperit că și alți actori scanează aceste site-uri și încearcă să folosească secretele găsite în doar câteva zile.
„Nu avem nevoie de mai multe platforme AI cu agenți autonomi. Avem nevoie ca organizațiile importante să nu mai copieze credențiale pe site-uri aleatorii”, spune WatchTowr.
