Mais de 80.000 senhas e arquivos de chaves confidenciais vazaram online.

A empresa de cibersegurança watchTowr descobriu um conjunto de senhas vazadas, chaves de acesso e arquivos de configuração confidenciais que foram expostos involuntariamente por meio de ferramentas populares de formatação online, como o formatador JSON e o CodeBeautify. 

A watchTowr Labs afirmou ter coletado um conjunto de dados contendo mais de 80.000 arquivos de sites usados para formatar e validar código. Nesses arquivos, os pesquisadores encontraram nomes de usuário, senhas, chaves de autenticação de repositório,dentdo Active Directory, strings de conexão de banco de dados,dentde FTP, chaves de acesso a ambientes de nuvem, detalhes de configuração LDAP, chaves de API de suporte técnico e até mesmo gravações de sessões SSH. 

"Estivemos analisando plataformas que os desenvolvedores usam para formatar rapidamente seus dados de entrada, como JSONFormatter e CodeBeautify. E sim, você está certo: o resultado foi exatamente tão desastroso quanto você imaginava", publicou na terça-feira.

Ferramentas online como JSONFormatter e CodeBeautify servem para formatar ou validar formatos de dados, permitindo que desenvolvedores colem trechos de código ou arquivos de configuração para solucionar problemas de formatação. No entanto, segundo pesquisadores, muitos funcionários estão colando, sem saber, arquivos inteiros que contêm informações confidenciais de sistemas de produção.

JSON e CodeBeautify vazam dados de governos, bancos e instituições de saúde.

Segundo a empresa de segurança, a falha de segurança que vazou os dados ainda não afetou três plataformas, incluindo repositórios do GitHub, espaços de trabalho do Postman e contêineres do DockerHub. No entanto, foram encontrados cinco anos de conteúdo histórico do JSONFormatter e um ano de conteúdo histórico do CodeBeautify, totalizando mais de 5 gigabytes de material JSON enriquecido e anotado. 

“A popularidade é tão grande que o único desenvolvedor por trás dessas ferramentas está bastante inspirado – uma visita típica à página inicial de qualquer ferramenta gera mais de 500 solicitações da web rapidamente, o que presumimos ser uma receita considerável de marketing de afiliados”, explicou o grupo de segurança cibernética.

A watchTowr Labs afirmou que organizações de setores como infraestrutura nacional, agências governamentais, grandes instituições financeiras, seguradoras, fornecedores de tecnologia, empresas de varejo, organizações aeroespaciais, empresas de telecomunicações, hospitais, universidades, empresas de viagens e até mesmo fornecedores de segurança cibernética tiveram suas informações privadas expostas.

“Essas ferramentas são extremamente populares, aparecendo entre os primeiros resultados de busca para termos como 'embelezar JSON' e 'melhor lugar para colar segredos' (provavelmente, sem comprovação), sendo usadas por organizações e administradores tanto em ambientes corporativos quanto para projetos pessoais”, escreveu o pesquisador de segurança Jake Knott na postagem do blog.

A watchTowr Labs listou diversas categorias de dados sensíveis encontrados nos arquivos expostos, comodentdo Active Directory, chaves de autenticação do repositório de código, detalhes de acesso ao banco de dados, informações de configuração do LDAP, chaves do ambiente de nuvem,dentde login FTP, chaves do pipeline CI/CD, chaves privadas e solicitações e respostas completas da API com parâmetros sensíveis.

Os investigadores também mencionaram segredos do Jenkins, arquivos de configuração criptografados pertencentes a uma empresa de cibersegurança, informações de Conheça Seu Cliente (KYC) de bancos edentda AWS pertencentes a uma importante bolsa de valores que estavam conectadas aos sistemas da Splunk. 

watchTowr: Atores maliciosos estão coletando os vazamentos.

De acordo com a análise de danos da watchTowr Labs, muitas das chaves vazadas foram coletadas e testadas por terceiros desconhecidos. Em um experimento, pesquisadores carregaram chaves de acesso falsas da AWS em uma das plataformas de formatação e, em menos de dois dias, agentes maliciosos tentaram abusar das dent .

“Principalmente porque alguém já está explorando isso, e tudo isso é realmente muito estúpido”, continuou Knott, “não precisamos de mais plataformas de agentes automatizadas baseadas em IA; precisamos de menos organizações críticas colandodentem sites aleatórios.”

Em setembro, o JSONFormatter e o CodeBeautify desativaram temporariamente a função de salvar após serem alertados sobre a falha de segurança. O JSONFormatter informou que estava "trabalhando para melhorar a funcionalidade", enquanto o CodeBeautify afirmou estar implementando novas "medidas aprimoradas de prevenção de conteúdo NSFW (Não Seguro Para o Trabalho)". 

Problema de segurança no provedor Terraform Vault da HashiCorp

Além dasdentvazadas, a HashiCorp, empresa da IBM sediada em São Francisco, descobriu uma vulnerabilidade que poderia permitir que invasores burlassem a autenticação em seu provedor Vault Terraform. A empresa fornece infraestrutura de computação em nuvem e serviços de proteção para desenvolvedores, empresas e organizações de segurança.

as descobertas da empresa de software divulgadas na terça-feira, a falha no Vault Terraform afeta as versões v4.2.0 a v5.4.0 devido a uma configuração padrão insegura no método de autenticação LDAP.

O problema surge porque o parâmetro “deny_null_bind” está definido como falso em vez de verdadeiro quando o provedor configura o backend de autenticação LDAP do Vault. Esse parâmetro determina se o Vault rejeita senhas incorretas ou conexões não autenticadas. 

Se o servidor LDAP conectado permitir conexões anônimas, os invasores poderão autenticar e acessar contas semdentválidas.

Quer que seu projeto seja apresentado às mentes mais brilhantes do mundo das criptomoedas? Apresente-o em nosso próximo relatório do setor, onde dados encontram impacto.