html
- WatchTowr 发现 JSONFormatter 和 CodeBeautify 通过未加保护的“最近链接”功能暴露敏感数据
- 研究人员提取了多年的原始数据,发现了关键行业的凭证、私钥、API 令牌和个人身份信息
- 犯罪分子已经开始利用这个漏洞,这突显了将敏感代码上传到公共格式化网站的风险
专家警告说,一些顶级代码格式化网站正在暴露敏感和可识别的信息,这可能使无数组织,包括政府和关键基础设施,面临风险。
网络安全研究人员 WatchTowr 分析 了 JSONFormatter 和 CodeBeautify,这些服务允许用户提交 代码 或数据(通常是 JSON),进行格式化、验证和“美化”,以便更容易阅读和调试。
专家表示,这两个网站有一个名为最近链接的功能,自动列出在平台上格式化或分析的最后文件或 URL。这个功能没有任何保护,并且遵循可预测的 URL 格式,容易被爬虫利用。
Aura可以通过众多功能保护您的家庭:密码管理器、身份盗窃保护、杀毒软件、VPN、家长控制等功能,月费仅为20美金!查看优惠
给用户的提醒
鉴于安全性较为松散和结构化的URL格式,WatchTowr的研究人员成功获取了五年的JSONFormatter原始数据,以及整整一年的CodeBeautify数据。
他们在数据中发现了各种敏感信息:Active Directory 凭证、数据库和云凭证、私钥、代码库令牌、CI/CD 密钥、支付网关密钥、API 令牌、SSH 会话录音、个人身份信息以及 KYC 信息等。
这些公司来自政府、关键基础设施、金融、航空航天、医疗保健、网络安全、电信等多个行业,自愿但不知情地共享这些信息。
WatchTowr 还表示,即使没有敏感数据,代码中的信息依然很有价值,因为它通常包含内部端点、IIS 配置值、属性以及相应注册表项的加固配置等详细信息。这些信息可以帮助恶意行为者进行针对性的入侵,绕过安全防护,或利用配置错误。
研究人员还指出,一些犯罪分子已经在利用这一漏洞。他们在平台上添加了假 AWS 密钥,并将其设置为‘24 小时后过期’,但有人在 48 小时后仍然尝试使用这些密钥。
“更有意思的是,他们在我们初次上传和保存后的48小时进行了测试(对于那些数学不太好的人来说,这是在链接过期后,‘保存’的内容被删除的24小时),”watchTowr总结道,提醒用户上传内容时要小心。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.