html

  • WatchTowr 发现 JSONFormatter 和 CodeBeautify 通过未加保护的“最近链接”功能暴露敏感数据
  • 研究人员提取了多年的原始数据,发现了关键行业的凭证、私钥、API 令牌和个人身份信息
  • 犯罪分子已经开始利用这个漏洞,这突显了将敏感代码上传到公共格式化网站的风险

专家警告说,一些顶级代码格式化网站正在暴露敏感和可识别的信息,这可能使无数组织,包括政府和关键基础设施,面临风险。

网络安全研究人员 WatchTowr 分析 了 JSONFormatter 和 CodeBeautify,这些服务允许用户提交 代码 或数据(通常是 JSON),进行格式化、验证和“美化”,以便更容易阅读和调试。

专家表示,这两个网站有一个名为最近链接的功能,自动列出在平台上格式化或分析的最后文件或 URL。这个功能没有任何保护,并且遵循可预测的 URL 格式,容易被爬虫利用。

Aura可以通过众多功能保护您的家庭:密码管理器、身份盗窃保护、杀毒软件、VPN、家长控制等功能,月费仅为20美金!查看优惠

给用户的提醒

给用户的提醒

鉴于安全性较为松散和结构化的URL格式,WatchTowr的研究人员成功获取了五年的JSONFormatter原始数据,以及整整一年的CodeBeautify数据。

他们在数据中发现了各种敏感信息:Active Directory 凭证、数据库和云凭证、私钥、代码库令牌、CI/CD 密钥、支付网关密钥、API 令牌、SSH 会话录音、个人身份信息以及 KYC 信息等。

这些公司来自政府、关键基础设施、金融、航空航天、医疗保健、网络安全、电信等多个行业,自愿但不知情地共享这些信息。

WatchTowr 还表示,即使没有敏感数据,代码中的信息依然很有价值,因为它通常包含内部端点、IIS 配置值、属性以及相应注册表项的加固配置等详细信息。这些信息可以帮助恶意行为者进行针对性的入侵,绕过安全防护,或利用配置错误。

研究人员还指出,一些犯罪分子已经在利用这一漏洞。他们在平台上添加了假 AWS 密钥,并将其设置为‘24 小时后过期’,但有人在 48 小时后仍然尝试使用这些密钥。

“更有意思的是,他们在我们初次上传和保存后的48小时进行了测试(对于那些数学不太好的人来说,这是在链接过期后,‘保存’的内容被删除的24小时),”watchTowr总结道,提醒用户上传内容时要小心。