Una nueva investigación ha descubierto que las organizaciones de varios sectores delicados, incluidos los gobiernos, las telecomunicaciones y la infraestructura crítica, están pegando contraseñas y credenciales en herramientas en línea como JsonFormatter y CodeBeautify que se utilizan para formatear y validar el código.
La empresa de ciberseguridad WatchTowr Labs dijo capturó un conjunto de datos de más de 80 000 archivos en estos sitios y descubrió miles de nombres de usuario, contraseñas, claves de autenticación de repositorios, credenciales de Active Directory, credenciales de bases de datos, credenciales de FTP, claves de entorno de nube, información de configuración de LDAP, claves de API de servicio de asistencia, claves de API de salas de reuniones, grabaciones de sesiones de SSH y todo tipo de información personal.
Esto incluye cinco años de contenido histórico de JsonFormatter y un año de contenido histórico de CodeBeautify, con un total de más de 5 GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por la filtración abarcan sectores críticos de infraestructura nacional, gobierno, finanzas, seguros, banca, tecnología, comercio minorista, aeroespacial, telecomunicaciones, salud, educación, viajes e, irónicamente, ciberseguridad.
«Estas herramientas son extremadamente populares y suelen aparecer en la parte superior de los resultados de búsqueda con términos como 'JSON beautify' y 'el mejor lugar para pegar secretos' (probablemente, no comprobados), y las utilizan una amplia variedad de organizaciones, organismos, desarrolladores y administradores tanto en entornos empresariales como para proyectos personales», afirma el investigador de seguridad Jake Knott en un informe publicado en The Hacker News.
Ambas herramientas también ofrecen la posibilidad de guardar una estructura o código JSON formateado, convirtiéndolo en un enlace semipermanente que se puede compartir con otros usuarios, lo que permite que cualquier persona con acceso a la URL acceda a los datos de forma efectiva.
Da la casualidad de que los sitios no solo proporcionan un práctico Página de enlaces recientes para enumerar todos los enlaces guardados recientemente, pero también seguir un formato de URL predecible para el enlace que se puede compartir, lo que facilita que un mal actor recupere todas las URL con un simple rastreador -
- https://jsonformatter.org/{id-here}
- https://jsonformatter.org/{formatter-type}/{id-here}
- https://codebeautify.org/{formatter-type}/{id-here}
Algunos ejemplos de información filtrada incluyen los secretos de Jenkins, una empresa de ciberseguridad que expone las credenciales cifradas de archivos de configuración confidenciales, la información de Conozca a su cliente (KYC) asociada a un banco, las credenciales de AWS de una importante bolsa financiera vinculadas a Splunk y las credenciales de Active Directory de un banco.
Para empeorar las cosas, la empresa dijo que había subido claves de acceso de AWS falsas a una de estas herramientas y que había descubierto a personas malintencionadas que intentaban abusar de ellas 48 horas después de haberla guardado. Esto indica que la valiosa información expuesta a través de estas fuentes está siendo extraída y puesta a prueba por terceros, lo que entraña graves riesgos.
«Principalmente porque alguien ya lo está explotando, y todo esto es muy, muy estúpido», dijo Knott. «No necesitamos más plataformas de agentes basadas en la inteligencia artificial; necesitamos que menos organizaciones críticas peguen las credenciales en sitios web aleatorios».
Según The Hacker News, tanto JsonFormatter como CodeBeautify han desactivado temporalmente la función de guardar, alegando que están «trabajando para mejorarla» e implementando «medidas mejoradas de prevención de contenido NSFW (no es seguro para el trabajo)».
WatchTowr dijo que estos sitios deshabilitaron la función de guardar, probablemente en respuesta a la investigación. «Sospechamos que este cambio se produjo en septiembre en respuesta a una comunicación de varias de las organizaciones afectadas a las que alertamos», añadió.