VietNetwork.Vn

Một nghiên cứu mới đã phát hiện ra rằng các tổ chức trong nhiều lĩnh vực nhạy cảm, bao gồm chính phủ, viễn thông và cơ sở hạ tầng quan trọng, đang dán mật khẩu và thông tin xác thực vào các công cụ trực tuyến như JSONformatter và CodeBeautify được sử dụng để định dạng và xác thực mã.

Công ty an ninh mạng watchTowr Labs cho biết họ đã thu thập được một tập dữ liệu gồm hơn 80.000 tệp trên các trang web này, phát hiện hàng nghìn tên người dùng, mật khẩu, khóa xác thực kho lưu trữ, thông tin đăng nhập Active Directory, thông tin đăng nhập cơ sở dữ liệu, thông tin đăng nhập FTP, khóa môi trường đám mây, thông tin cấu hình LDAP, khóa API bộ phận trợ giúp, khóa API phòng họp, bản ghi phiên SSH và nhiều loại thông tin cá nhân khác.


Bao gồm năm năm nội dung JSONFormatter lịch sử và một năm nội dung CodeBeautify lịch sử, tổng cộng hơn 5GB dữ liệu JSON được chú thích và làm giàu.

Các tổ chức bị ảnh hưởng bởi vụ rò rỉ này bao gồm cơ sở hạ tầng quốc gia quan trọng, chính phủ, tài chính, bảo hiểm, ngân hàng, công nghệ, bán lẻ, hàng không vũ trụ, viễn thông, chăm sóc sức khỏe, giáo dục, du lịch và trớ trêu thay, cả các lĩnh vực an ninh mạng.

Nhà nghiên cứu bảo mật Jake Knott cho biết trong một báo cáo chia sẻ với The Hacker News: "Những công cụ này cực kỳ phổ biến, thường xuất hiện gần đầu kết quả tìm kiếm cho các thuật ngữ như 'Làm đẹp JSON' và 'Nơi tốt nhất để dán bí mật' (có lẽ chưa được chứng minh) -- và được nhiều tổ chức, cơ quan, nhà phát triển và quản trị viên sử dụng trong cả môi trường doanh nghiệp và các dự án cá nhân".


Cả hai công cụ này đều có khả năng lưu cấu trúc hoặc mã JSON đã định dạng, biến nó thành liên kết bán cố định, có thể chia sẻ với người khác – cho phép bất kỳ ai có quyền truy cập vào URL đều có thể truy cập dữ liệu.


Thực tế, các trang web này không chỉ cung cấp trang Liên kết gần đây tiện dụng để liệt kê tất cả các liên kết đã lưu gần đây mà còn tuân theo định dạng URL có thể dự đoán được cho liên kết có thể chia sẻ, do đó giúp kẻ xấu dễ dàng truy xuất tất cả các URL bằng trình thu thập thông tin đơn giản -

      Đăng nhập để xem liên kết
      Đăng nhập để xem liên kết
      Đăng nhập để xem liên kết

Một số ví dụ về thông tin bị rò rỉ bao gồm bí mật của Jenkins, một công ty an ninh mạng tiết lộ thông tin xác thực được mã hóa cho các tệp cấu hình nhạy cảm, thông tin Biết khách hàng của bạn (KYC) liên quan đến một ngân hàng, thông tin xác thực AWS của một sàn giao dịch tài chính lớn được liên kết với Splunk và thông tin xác thực Active Directory của một ngân hàng.

Tệ hơn nữa, công ty cho biết họ đã tải lên các khóa truy cập AWS giả mạo vào một trong những công cụ này và phát hiện kẻ xấu đang cố gắng lạm dụng chúng 48 giờ sau khi chúng được lưu. Điều này cho thấy thông tin giá trị bị lộ thông qua các nguồn này đang bị các bên khác thu thập và kiểm tra, gây ra những rủi ro nghiêm trọng.

"Chủ yếu là vì đã có người lợi dụng nó, và tất cả những điều này thực sự, thực sự ngu ngốc," Knott nói. "Chúng ta không cần thêm nhiều nền tảng tác nhân điều khiển bằng AI; chúng ta cần ít tổ chức quan trọng dán thông tin đăng nhập vào các trang web ngẫu nhiên hơn."

Khi được The Hacker News kiểm tra, cả JSONFormatter và CodeBeautify đều tạm thời vô hiệu hóa chức năng lưu, tuyên bố rằng họ đang "cải thiện chức năng này" và triển khai "các biện pháp ngăn chặn nội dung NSFW (Không an toàn khi làm việc) nâng cao".

watchTowr cho biết chức năng lưu đã bị các trang web này vô hiệu hóa, có thể là do nghiên cứu này. "Chúng tôi nghi ngờ sự thay đổi này diễn ra vào tháng 9 để đáp lại thông tin liên lạc từ một số tổ chức bị ảnh hưởng mà chúng tôi đã cảnh báo", trang web này cho biết thêm.