最新研究发现,包括政府、电信和关键基础设施在内的多个敏感行业组织,存在将密码和凭证粘贴到 JSONFormatter、CodeBeautify 等在线代码格式化与验证工具的行为。
网络安全公司 watchTowr Labs 表示,其在这些网站上捕获了超过 8 万份文件的数据集,从中发现数千组用户名、密码、代码库认证密钥、Active Directory 凭证、数据库凭证、FTP 凭证、云环境密钥、LDAP 配置信息、服务台 API 密钥、会议室 API 密钥、SSH 会话记录以及各类个人信息。
该数据集包含 JSONFormatter 五年的历史内容和 CodeBeautify 一年的历史内容,总计超过 5GB的增强型带注释 JSON 数据。
泄露影响范围
受此次泄露事件影响的组织遍及国家关键基础设施、政府、金融、保险、银行、科技、零售、航空航天、电信、医疗保健、教育、旅游等行业,具有讽刺意味的是,网络安全行业也在其中。
“这些工具极具 popularity,在‘JSON 美化’‘粘贴机密信息的最佳平台’(推测,未经证实)等搜索词条中常位居前列 —— 企业环境和个人项目中的各类组织、机构、开发人员及管理员均有使用,” 安全研究员杰克・诺特在分享给The Hacker News的报告中表示。
这两款工具均支持保存格式化后的 JSON 结构或代码,并生成半永久性的可共享链接 —— 任何获取该 URL 的用户均可访问其中数据。
更严重的是,这些网站不仅设有便捷的 “近期链接”(Recent Links)页面,列出所有近期保存的链接,其可共享链接还采用可预测的 URL 格式,使得攻击者能够通过简单爬虫轻松获取所有链接:
- https://jsonformatter.org/{此处为 ID}
- https://jsonformatter.org/{格式化类型}/{此处为 ID}
- https://codebeautify.org/{格式化类型}/{此处为 ID}
泄露信息包括 Jenkins 密钥、某网络安全公司泄露的敏感配置文件加密凭证、某银行的客户身份验证(KYC)信息、某大型金融交易所与 Splunk 相关联的 AWS 凭证,以及某银行的 Active Directory 凭证等。
安全风险
更糟糕的是,该公司透露,其在其中一款工具中上传了伪造的 AWS 访问密钥,结果发现该密钥保存 48 小时后便遭到攻击者的滥用尝试。这表明通过此类渠道泄露的敏感信息正被第三方爬取并用于攻击测试,构成严重安全风险。
“主要原因是已经有人在利用这些泄露信息了,而这种(粘贴机密到随机网站的)行为实在是太愚蠢了,” 诺特表示,“我们不需要更多人工智能驱动的智能代理平台;我们需要的是减少关键组织将凭证粘贴到随机网站的行为。”
The Hacker New核实发现,JSONFormatter 与 CodeBeautify 目前已暂时禁用保存功能,声称正在 “优化该功能” 并实施 “增强型工作环境不适宜(NSFW)内容防护措施”。
watchTowr 指出,这些网站禁用保存功能很可能是对该研究的回应。“我们推测这一变更于 9 月实施,源于我们通知的多家受影响组织的沟通反馈,” 该公司补充道。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容