Un nuevo estudio ha descubierto que organizaciones en una variedad de sectores sensibles, incluidos el gobierno, las telecomunicaciones y la infraestructura crítica, están pegando contraseñas y credenciales en herramientas en línea utilizadas para formatear y validar código, como JSONformatter y CodeBeautify.
La empresa de ciberseguridad watchTowr Labs anunció que ha capturado un conjunto de datos de más de 80.000 archivos en estos sitios, revelando miles de nombres de usuario, contraseñas, claves de autenticación de repositorio, credenciales de Active Directory, credenciales de bases de datos, credenciales FTP, claves de entorno de nube, información de configuración LDAP, claves API de la mesa de ayuda, claves API de salas de conferencias, registros de sesiones SSH e información personal de todo tipo.
Esto incluye 5 años de contenido histórico de JSONFormatter y 1 año de contenido histórico de CodeBeautify, con un total de 5 GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por esta infracción abarcan los sectores críticos de infraestructura nacional, gobierno, finanzas, seguros, banca, tecnología, comercio minorista, aeroespacial, telecomunicaciones, atención médica, educación, viajes e, irónicamente, ciberseguridad.
«Estas herramientas son extremadamente populares, a menudo aparecen cerca de la parte superior de los resultados de búsqueda para cosas como ‘embellecimiento JSON’ y ‘mejor lugar para pegar secretos’ (probablemente no probado), y son utilizadas por una variedad de organizaciones, desarrolladores y administradores tanto en entornos empresariales como en proyectos personales», dijo el investigador de seguridad Jake Knott en un informe compartido con Hacker News.
Ambas herramientas brindan la capacidad de guardar una estructura o código JSON formateado y convertirlo en un enlace semipermanente que se puede compartir con otros. Esto hace que los datos sean accesibles para cualquiera que pueda acceder a la URL.
Casualmente, estos sitios no solo proporcionan una página conveniente (Enlaces recientes) que enumera todos los enlaces guardados recientemente, sino que también siguen un formato de URL predecible para los enlaces que se pueden compartir, lo que facilita que un atacante malintencionado recupere todas las URL utilizando un rastreador simple.
https://jsonformatter.org/{id-here} https://jsonformatter.org/{formatter-type}/{id-here} https://codebeautify.org/{formatter-type}/{id-here}
Los ejemplos de información comprometida incluyen información confidencial de Jenkins, una empresa de ciberseguridad que expone credenciales cifradas en archivos de configuración confidenciales, información de Conozca a su cliente (KYC) asociada con un banco, credenciales de AWS para un importante intercambio financiero vinculado a Splunk y credenciales de Active Directory para un banco.
Para empeorar las cosas, la compañía anunció que había descubierto a un actor malicioso que subió una clave de acceso de AWS falsa a una de estas herramientas e intentó explotarla 48 horas después de haber sido almacenada. Esto indica que otras partes están recopilando y probando información valiosa publicada a través de estas fuentes, lo que plantea riesgos importantes.
«La razón principal es que alguien ya lo está explotando, lo cual es realmente estúpido», dijo Knott. «No necesitamos más plataformas de agentes impulsadas por IA. Habrá menos organizaciones importantes pegando sus credenciales en sitios web aleatorios».
Según The Hacker News, tanto JSONFormatter como CodeBeautify han desactivado temporalmente la función de guardar, afirmando que están «trabajando en mejoras» e implementando «medidas mejoradas de prevención de contenido NSFW (No seguro para el trabajo)».
watchTowr dijo que estos sitios probablemente tengan la función de guardar desactivada en respuesta a su investigación. «Creemos que este cambio se produjo en septiembre en respuesta a las comunicaciones de varias organizaciones afectadas sobre las que alertamos», añadió.
Source link
