Nieuw onderzoek heeft uitgewezen dat organisaties in verschillende gevoelige sectoren, waaronder overheden, telecom en kritieke infrastructuur, wachtwoorden en inloggegevens plakken in online tools zoals JSONformatter en CodeBeautify die worden gebruikt om code te formatteren en te valideren.
Cyberbeveiligingsbedrijf watchTowr Labs zei dat het een dataset van meer dan 80.000 bestanden op deze sites had vastgelegd, waarbij duizenden gebruikersnamen, wachtwoorden, repository-authenticatiesleutels, Active Directory-inloggegevens, database-inloggegevens, FTP-inloggegevens, cloudomgevingssleutels, LDAP-configuratie-informatie, helpdesk-API-sleutels, vergaderruimte-API-sleutels, SSH-sessieopnamen en allerlei persoonlijke informatie werden blootgelegd.
Dit omvat vijf jaar historische JSONFormatter-inhoud en één jaar historische CodeBeautify-inhoud, met in totaal meer dan 5 GB aan verrijkte, geannoteerde JSON-gegevens.
Organisaties die door het lek worden getroffen, omvatten kritieke nationale infrastructuur, overheid, financiën, verzekeringen, banken, technologie, detailhandel, lucht- en ruimtevaart, telecommunicatie, gezondheidszorg, onderwijs, reizen en, ironisch genoeg, cyberbeveiligingssectoren.
“Deze tools zijn extreem populair en verschijnen vaak bovenaan de zoekresultaten voor termen als ‘JSON verfraaien’ en ‘beste plaats om geheimen te plakken’ (waarschijnlijk onbewezen) – en worden gebruikt door een grote verscheidenheid aan organisaties, organismen, ontwikkelaars en beheerders in zowel bedrijfsomgevingen als voor persoonlijke projecten”, zei beveiligingsonderzoeker Jake Knott in een rapport gedeeld met The Hacker News.
Beide tools bieden ook de mogelijkheid om een geformatteerde JSON-structuur of -code op te slaan, waardoor deze wordt omgezet in een semi-permanente, deelbare link met anderen, waardoor iedereen met toegang tot de URL effectief toegang krijgt tot de gegevens.
Toevallig bieden de sites niet alleen een handige Recent Links-pagina om alle recentelijk opgeslagen links weer te geven, maar volgen ze ook een voorspelbaar URL-formaat voor de deelbare link, waardoor het voor een slechte actor gemakkelijker wordt om alle URL’s op te halen met behulp van een eenvoudige crawler –
- https://jsonformatter.org/{id-hier}
- https://jsonformatter.org/{formatter-type}/{id-hier}
- https://codebeautify.org/{formatter-type}/{id-here}
Enkele voorbeelden van gelekte informatie zijn Jenkins-geheimen, een cyberbeveiligingsbedrijf dat gecodeerde inloggegevens voor gevoelige configuratiebestanden openbaar maakt, Know Your Customer (KYC)-informatie die aan een bank is gekoppeld, de AWS-inloggegevens van een grote financiële beurs die aan Splunk zijn gekoppeld, en Active Directory-inloggegevens voor een bank.
Tot overmaat van ramp zei het bedrijf dat het valse AWS-toegangssleutels naar een van deze tools had geüpload en ontdekte dat slechte acteurs deze 48 uur nadat het was opgeslagen probeerden te misbruiken. Dit geeft aan dat waardevolle informatie die via deze bronnen wordt vrijgegeven, door andere partijen wordt verzameld en getest, wat ernstige risico’s met zich meebrengt.
“Vooral omdat iemand het al exploiteert, en dit is allemaal echt heel stom”, zei Knott. “We hebben niet meer AI-gestuurde agentenplatforms nodig; we hebben minder kritische organisaties nodig die inloggegevens op willekeurige websites plakken.”
Na controle door The Hacker News hebben zowel JSONFormatter als CodeBeautify de opslagfunctionaliteit tijdelijk uitgeschakeld, waarbij ze beweren dat ze “aan het werken zijn om het beter te maken” en “verbeterde NSFW (Not Safe For Work) inhoudpreventiemaatregelen” implementeren.
watchTowr zei dat de opslagfunctionaliteit door deze sites was uitgeschakeld, waarschijnlijk als reactie op het onderzoek. “We vermoeden dat deze verandering in september heeft plaatsgevonden als reactie op communicatie van een aantal van de getroffen organisaties die we hebben gewaarschuwd”, voegde het eraan toe.
