Incluye años de contenido histórico de JSONFormatter y de CodeBeautify
Una nueva investigación ha descubierto que las organizaciones de diversos sectores sensibles, incluidos gobiernos, telecomunicaciones e infraestructura crítica, están pegando contraseñas y credenciales en herramientas en línea como JSONformatter y CodeBeautify, que se utilizan para formatear y validar el código.
La empresa de ciberseguridad watchTowr Labs afirmó haber recogido un conjunto de datos de más de 80.000 archivos en estos sitios, descubriendo miles de nombres de usuario, contraseñas, claves de autenticación de repositorio, credenciales de Active Directory, credenciales de base de datos, credenciales de FTP, claves de entorno de nube, información de configuración de LDAP, claves de API de soporte técnico, claves de API de salas de reuniones, grabaciones de sesiones SSH y todo tipo de información personal.
Esto incluye cinco años de contenido histórico de JSONFormatter y un año de contenido histórico de CodeBeautify, con un total de más de 5 GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por la fuga abarcan sectores críticos de infraestructura nacional, gobierno, finanzas, seguros, banca, tecnología, comercio minorista, aeroespacial, telecomunicaciones, atención médica, educación, viajes e, irónicamente, ciberseguridad.
"Estas herramientas son extremadamente populares y suelen aparecer cerca de la parte superior de los resultados de búsqueda para términos como 'embellecer JSON' y 'mejor lugar para pegar secretos' (probablemente, no probados), y son utilizadas por una amplia variedad de organizaciones, organismos, desarrolladores y administradores tanto en entornos empresariales como para proyectos personales", dijo en un informe el investigador de seguridad Jake Knott.
Ambas herramientas también ofrecen la posibilidad de guardar una estructura o código JSON formateado, convirtiéndolo en un enlace semipermanente y compartible con otros, lo que permite efectivamente que cualquier persona con acceso a la URL acceda a los datos.
En realidad, los sitios no solo ofrecen una práctica página de Enlaces recientes para enumerar todos los enlaces guardados recientemente, sino que también siguen un formato de URL predecible para el enlace que se puede compartir, lo que hace más fácil para un mal actor recuperar todas las URL usando un rastreador simple:
• https://jsonformatter.org/{id-here}
• https://jsonformatter.org/{formatter-type}/{id-here}
• https://codebeautify.org/{formatter-type}/{id-here}
Algunos ejemplos de información filtrada incluyen secretos de Jenkins, una empresa de ciberseguridad que expone credenciales cifradas para archivos de configuración confidenciales, información de Conozca a su cliente (Know Your Customer, KYC) asociada con un banco, credenciales de AWS de una importante bolsa financiera vinculadas a Splunk y credenciales de Active Directory para un banco.
Para empeorar las cosas, la empresa afirmó haber subido falsas claves de acceso de AWS a una de estas herramientas y haber descubierto a actores maliciosos que intentaban abusar de ellas 48 horas después de haberlas guardado. Esto indica que información valiosa expuesta a través de estas fuentes está siendo extraída y analizada por terceros, lo que supone graves riesgos.
"Principalmente porque alguien ya lo está explotando, y todo esto es una auténtica estupidez", dijo Knott. "No necesitamos más plataformas de agentes basados en IA; necesitamos menos organizaciones críticas que inserten credenciales en sitios web aleatorios".
Cuando se intentó verificar, tanto JSONFormatter como CodeBeautify deshabilitaron temporalmente la función de guardar, afirmando que están "trabajando para mejorarla" e implementando "medidas mejoradas de prevención de contenido NSFW (No seguro para el trabajo)".
watchTowr indicó que la función de guardar fue desactivada por estos sitios, probablemente como respuesta a la investigación. "Sospechamos que este cambio se produjo en septiembre como respuesta a la comunicación de varias de las organizaciones afectadas a las que alertamos", añadió.
