Uma nova pesquisa revelou que organizações de setores sensíveis, como governos, telecomunicações e infraestrutura crítica, estão colando senhas e credenciais em ferramentas online como JSONFormatter e CodeBeautify, usadas para formatar e validar códigos.
A empresa de cibersegurança watchTowr Labs capturou mais de 80 mil arquivos nessas plataformas, expondo milhares de informações confidenciais.
Entre os dados vazados estão nomes de usuário, senhas, chaves de autenticação de repositórios, credenciais do Active Directory, bancos de dados, FTP, chaves de ambientes em cloud, configurações LDAP, APIs de helpdesk e de salas de reunião, gravações de sessões SSH e diversos dados pessoais.
O material inclui cinco anos de conteúdo histórico do JSONFormatter e um ano do CodeBeautify, somando mais de 5 GB de dados JSON enriquecidos e anotados.
As organizações afetadas abrangem infraestrutura nacional crítica, governos, finanças, seguros, bancos, tecnologia, varejo, aeroespacial, telecomunicações, saúde, educação, turismo e, ironicamente, até o setor de cibersegurança.
Segundo Jake Knott, pesquisador de segurança que compartilhou o relatório com o The Hacker News, “essas ferramentas são muito populares e frequentemente aparecem nos primeiros resultados em pesquisas por termos como ‘JSON beautify’ e ‘melhor lugar para colar segredos’ (embora essa última expressão provavelmente seja irônica).
Elas são utilizadas por uma grande variedade de organizações, desenvolvedores e administradores, tanto em ambientes corporativos quanto em projetos pessoais.”
Além disso, ambas as ferramentas permitem salvar a estrutura JSON ou o código formatado, gerando um link compartilhável e semipermanente.
Isso significa que qualquer pessoa com acesso à URL pode visualizar os dados armazenados.
Os sites também oferecem uma página de Recent Links, que lista os links salvos recentemente, e usam um padrão previsível para os URLs compartilháveis, facilitando que agentes mal-intencionados coletem todas as URLs disponíveis por meio de crawlers simples:
- https://jsonformatter.org/{id-aqui}
- https://jsonformatter.org/{tipo-de-formatador}/{id-aqui}
- https://codebeautify.org/{tipo-de-formatador}/{id-aqui}
Entre as informações vazadas estão segredos do Jenkins, credenciais criptografadas de arquivos de configuração expostas por outra empresa de cibersegurança, dados Know Your Customer (KYC) de um banco, credenciais AWS de uma grande bolsa financeira vinculadas ao Splunk e credenciais do Active Directory de uma instituição bancária.
Para agravar a situação, a pesquisa revelou que, 48 horas após a inserção de chaves de acesso AWS falsas em uma dessas ferramentas, agentes maliciosos já tentavam usá-las.
Isso indica que dados expostos estão sendo rapidamente coletados e testados por terceiros, o que representa um risco grave.
“Principalmente porque alguém já está explorando essas informações, e isso é simplesmente muito errado”, ressalta Knott.
“Não precisamos de mais agentes autônomos baseados em IA; precisamos que organizações críticas parem de colar credenciais em sites aleatórios.”
Após a publicação da investigação, o The Hacker News confirmou que JSONFormatter e CodeBeautify desabilitaram temporariamente a função de salvar, alegando que estão “trabalhando para melhorar a ferramenta” e implementando “medidas aprimoradas de prevenção a conteúdo NSFW (Not Safe For Work).”
Segundo a watchTowr, essa desativação provavelmente foi uma resposta às notificações enviadas a várias organizações afetadas.
“Suspeitamos que a mudança ocorreu em setembro, após as comunicações que fizemos.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...