Una nueva investigación ha descubierto que organizaciones de diversos sectores sensibles, incluidos gobiernos, telecomunicaciones e infraestructura crítica, están pegando contraseñas y credenciales en herramientas en línea como JSONformatter y CodeBeautify que se utilizan para formatear y validar código.
La empresa de ciberseguridad watchTowr Labs dijo que capturó un conjunto de datos de más de 80.000 archivos en estos sitios, descubriendo miles de nombres de usuario, contraseñas, claves de autenticación de repositorio, credenciales de Active Directory, credenciales de bases de datos, credenciales FTP, claves de entorno de nube, información de configuración LDAP, claves API de asistencia técnica, claves API de salas de reuniones, grabaciones de sesiones SSH y todo tipo de información personal.
Esto incluye cinco años de contenido histórico de JSONFormatter y un año de contenido histórico de CodeBeautify, con un total de más de 5 GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por la filtración abarcan sectores críticos de infraestructura nacional, gobierno, finanzas, seguros, banca, tecnología, comercio minorista, aeroespacial, telecomunicaciones, atención médica, educación, viajes e, irónicamente, ciberseguridad.
«Estas herramientas son extremadamente populares, a menudo aparecen cerca de la parte superior de los resultados de búsqueda para términos como ‘JSON embellecer’ y ‘mejor lugar para pegar secretos’ (probablemente, no probados) – y utilizadas por una amplia variedad de organizaciones, organismos, desarrolladores y administradores tanto en entornos empresariales como para proyectos personales», dijo el investigador de seguridad Jake Knott en un informe compartido con The Hacker News.
Ambas herramientas también ofrecen la posibilidad de guardar una estructura o código JSON formateado, convirtiéndolo en un enlace semipermanente que se puede compartir con otros, permitiendo efectivamente que cualquiera con acceso a la URL acceda a los datos.
Da la casualidad de que los sitios no solo proporcionan una práctica página de Enlaces recientes para enumerar todos los enlaces guardados recientemente, sino que también siguen un formato de URL predecible para el enlace que se puede compartir, lo que facilita que un mal actor recupere todas las URL utilizando un rastreador simple.
- https://jsonformatter.org/{id-aquí}
- https://jsonformatter.org/{formatter-type}/{id-aquí}
- https://codebeautify.org/{formatter-type}/{id-aquí}
Algunos ejemplos de información filtrada incluyen secretos de Jenkins, una empresa de ciberseguridad que expone credenciales cifradas para archivos de configuración confidenciales, información de Conozca a su cliente (KYC) asociada con un banco, las credenciales de AWS de un importante intercambio financiero vinculadas a Splunk y credenciales de Active Directory para un banco.
Para empeorar las cosas, la compañía dijo que subió claves de acceso de AWS falsas a una de estas herramientas y encontró delincuentes que intentaban abusar de ellas 48 horas después de guardarla. Esto indica que otras partes están extrayendo y probando información valiosa expuesta a través de estas fuentes, lo que plantea graves riesgos.
«Sobre todo porque alguien ya lo está explotando, y todo esto es realmente estúpido», dijo Knott. «No necesitamos más plataformas de agentes agentes impulsadas por IA; necesitamos menos organizaciones críticas que peguen credenciales en sitios web aleatorios».
Cuando The Hacker News los revisó, tanto JSONFormatter como CodeBeautify desactivaron temporalmente la función de guardar, afirmando que están «trabajando para mejorarla» e implementando «medidas mejoradas de prevención de contenido NSFW (No seguro para el trabajo)».
watchTowr dijo que estos sitios desactivaron la función de guardar, probablemente en respuesta a la investigación. «Sospechamos que este cambio se produjo en septiembre en respuesta a la comunicación de varias de las organizaciones afectadas que alertamos», añadió.