Una nueva investigación ha descubierto que organizaciones de diversos sectores sensibles, incluidos gobiernos, telecomunicaciones e infraestructura crítica, están pegando contraseñas y credenciales en herramientas en camino como JSONformatter y CodeBeautify que se utilizan para formatear y validar código.
La empresa de ciberseguridad watchTowr Labs dijo que capturó un conjunto de datos de más de 80.000 archivos en estos sitios, descubriendo miles de nombres de agraciado, contraseñas, claves de autenticación de repositorio, credenciales de Active Directory, credenciales de bases de datos, credenciales FTP, claves de entorno de montón, información de configuración LDAP, claves API de protección técnica, claves API de salas de reuniones, grabaciones de sesiones SSH y todo tipo de información personal.
Esto incluye cinco abriles de contenido histórico de JSONFormatter y un año de contenido histórico de CodeBeautify, con un total de más de 5 GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por la filtración abarcan sectores críticos de infraestructura doméstico, gobierno, finanzas, seguros, banca, tecnología, comercio minorista, aeroespacial, telecomunicaciones, atención médica, educación, viajes e, irónicamente, ciberseguridad.
“Estas herramientas son extremadamente populares, a menudo aparecen cerca de la parte superior de los resultados de búsqueda para términos como ‘JSON embellecer’ y ‘mejor división para pegar secretos’ (probablemente, no probados) – y utilizadas por una amplia variedad de organizaciones, organismos, desarrolladores y administradores tanto en entornos empresariales como para proyectos personales”, dijo el investigador de seguridad Jake Knott en un documentación compartido con The Hacker News.
Ambas herramientas incluso ofrecen la posibilidad de acomodar una estructura o código JSON formateado, convirtiéndolo en un enlace semipermanente que se puede compartir con otros, permitiendo efectivamente que cualquiera con ataque a la URL acceda a los datos.
Da la casualidad de que los sitios no solo proporcionan una ejercicio página de Enlaces recientes para enumerar todos los enlaces guardados recientemente, sino que incluso siguen un formato de URL predecible para el enlace que se puede compartir, lo que facilita que un mal actor recupere todas las URL utilizando un rastreador simple.
- https://jsonformatter.org/{id-aquí}
- https://jsonformatter.org/{formatter-type}/{id-aquí}
- https://codebeautify.org/{formatter-type}/{id-aquí}
Algunos ejemplos de información filtrada incluyen secretos de Jenkins, una empresa de ciberseguridad que expone credenciales cifradas para archivos de configuración confidenciales, información de Conozca a su cliente (KYC) asociada con un bandada, las credenciales de AWS de un importante intercambio financiero vinculadas a Splunk y credenciales de Active Directory para un bandada.
Para empeorar las cosas, la compañía dijo que subió claves de ataque de AWS falsas a una de estas herramientas y encontró delincuentes que intentaban explotar de ellas 48 horas luego de guardarla. Esto indica que otras partes están extrayendo y probando información valiosa expuesta a través de estas fuentes, lo que plantea graves riesgos.
“Sobre todo porque determinado ya lo está explotando, y todo esto es positivamente estúpido”, dijo Knott. “No necesitamos más plataformas de agentes agentes impulsadas por IA; necesitamos menos organizaciones críticas que peguen credenciales en sitios web aleatorios”.
Cuando The Hacker News los revisó, tanto JSONFormatter como CodeBeautify desactivaron temporalmente la función de acomodar, afirmando que están “trabajando para mejorarla” e implementando “medidas mejoradas de prevención de contenido NSFW (No seguro para el trabajo)”.
watchTowr dijo que estos sitios desactivaron la función de acomodar, probablemente en respuesta a la investigación. “Sospechamos que este cambio se produjo en septiembre en respuesta a la comunicación de varias de las organizaciones afectadas que alertamos”, añadió.
