Milhares de credenciais, chaves de autenticação e dados de configuração de organizações de setores sensíveis foram encontrados em fragmentos JSON publicamente acessíveis, armazenados em serviços online de formatação e organização de código, como JSONFormatter e CodeBeautify.
Pesquisadores revelaram que mais de 80 mil “user pastes”, totalizando mais de 5 GB de dados, estavam expostos por meio de um recurso chamado Recent Links, oferecido por essas plataformas e disponível para qualquer usuário na internet.
Entre as instituições afetadas, muitas atuam em áreas de alto risco, como governo, infraestrutura crítica, bancos, seguros, aeroespacial, saúde, educação, cibersegurança e telecomunicações.
Especialistas da empresa WatchTowr, que atua na gestão da superfície de ataque externa, analisaram as plataformas JSONFormatter e CodeBeautify.
Eles descobriram que o recurso Recent Links armazenava snippets JSON temporariamente salvos pelos usuários para compartilhamento, gerando URLs únicas sem qualquer mecanismo de proteção.
Ao clicar em “save”, a ferramenta cria um link exclusivo para o conteúdo salvo e o adiciona à página Recent Links do usuário.
Como essa página não possui camadas de segurança, os arquivos ficam disponíveis para qualquer pessoa que acesse o endereço.
Além disso, o formato dessas URLs é pré-definido e previsível, o que facilitou a criação de crawlers capazes de coletar grandes volumes desses links.
Com base nessa técnica, a WatchTowr baixou mais de 80 mil pastas de usuários, reunindo dados de cinco anos do JSONFormatter e de um ano do CodeBeautify.
Entre as informações sensíveis encontradas estão:
- Credenciais do Active Directory
- Acessos a bancos de dados e serviços em nuvem
- Chaves privadas
- Tokens de repositórios de código
- Segredos de pipelines CI/CD
- Chaves de gateways de pagamento
- Tokens de APIs
- Gravações de sessões SSH
- Grande volume de dados pessoais sensíveis (PII), incluindo informações KYC (know your customer)
- Conjunto de credenciais AWS usado pelo sistema Splunk SOAR de uma bolsa de valores internacional
- Credenciais de banco expostas via e-mail de onboarding de um MSSP (provedor de serviços gerenciados de segurança)
Em um caso específico, os pesquisadores identificaram informações “materialmente sensíveis” de uma empresa de cibersegurança, com credenciais criptografadas para arquivos de configuração altamente críticos, senhas de chaves privadas de certificados SSL, nomes de hosts internos e externos, endereços IP e caminhos de arquivos de chaves e certificados.
Pastes relacionados a uma entidade governamental continham 1.000 linhas de código PowerShell usadas para configurar um novo host, incluindo instalação de softwares, configurações de registro, hardening e implantação de um aplicativo web.
Embora o script não revelasse dados sensíveis diretamente, trazia informações valiosas para um atacante, como detalhes de endpoints internos e configurações do IIS.
Outra empresa de tecnologia, que oferece Data Lake-as-a-Service (DLaaS), expôs um arquivo de configuração de infraestrutura em nuvem contendo domínios, e-mails, nomes de hosts e credenciais de serviços como Docker Hub, Grafana, JFrog e RDS Database.
A WatchTowr também encontrou credenciais AWS em produção de uma “grande bolsa de valores”, vinculadas a automações do Splunk SOAR.
Além disso, um MSSP vazou credenciais do Active Directory da própria infraestrutura, além de acessos baseados em e-mail e ID de um banco nos Estados Unidos, descrito como o maior cliente do provedor.
Preocupados com a possibilidade de esses dados já terem sido explorados por agentes maliciosos, os pesquisadores usaram o serviço Canarytokens para criar chaves AWS falsas, porém realistas, que foram inseridas nas plataformas, vinculadas a links configurados para expirar em 24 horas.
Surpreendentemente, essas chaves falsas foram acessadas 48 horas após o upload inicial — ou seja, 24 horas depois da expiração dos links e da remoção do conteúdo — apontando para o uso de scanners automatizados que vasculham dados públicos.
A equipe da WatchTowr notificou diversas organizações afetadas.
Enquanto algumas adotaram medidas para corrigir as falhas, várias não responderam.
Atualmente, as páginas Recent Links continuam disponíveis nas duas plataformas, permitindo que agentes mal-intencionados coletem livremente essas informações sensíveis.
Essa exposição reforça a necessidade urgente de revisão das políticas de segurança dessas ferramentas e do cuidado dos usuários ao salvar dados críticos em serviços online sem proteção adequada.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...