河北
html
- WatchTowr 發現 JSONFormatter 和 CodeBeautify 通過未加保護的“最近鏈接”功能暴露敏感數據
- 研究人員提取了多年的原始數據,發現了關鍵行業的憑證、私鑰、API 令牌和個人身份信息
- 犯罪分子已經開始利用這個漏洞,這突顯了將敏感代碼上傳到公共格式化網站的風險
專家警告說,一些頂級代碼格式化網站正在暴露敏感和可識別的信息,這可能使無數組織,包括政府和關鍵基礎設施,面臨風險。
網絡安全研究人員 WatchTowr 分析 了 JSONFormatter 和 CodeBeautify,這些服務允許用戶提交 代碼 或數據(通常是 JSON),進行格式化、驗證和“美化”,以便更容易閱讀和調試。
專家表示,這兩個網站有一個名為最近鏈接的功能,自動列出在平臺上格式化或分析的最后文件或 URL。這個功能沒有任何保護,并且遵循可預測的 URL 格式,容易被爬蟲利用。
Aura可以通過眾多功能保護您的家庭:密碼管理器、身份盜竊保護、殺毒軟件、VPN、家長控制等功能,月費僅為20美金!查看優惠
給用戶的提醒
鑒于安全性較為松散和結構化的URL格式,WatchTowr的研究人員成功獲取了五年的JSONFormatter原始數據,以及整整一年的CodeBeautify數據。
他們在數據中發現了各種敏感信息:Active Directory 憑證、數據庫和云憑證、私鑰、代碼庫令牌、CI/CD 密鑰、支付網關密鑰、API 令牌、SSH 會話錄音、個人身份信息以及 KYC 信息等。
這些公司來自政府、關鍵基礎設施、金融、航空航天、醫療保健、網絡安全、電信等多個行業,自愿但不知情地共享這些信息。
WatchTowr 還表示,即使沒有敏感數據,代碼中的信息依然很有價值,因為它通常包含內部端點、IIS 配置值、屬性以及相應注冊表項的加固配置等詳細信息。這些信息可以幫助惡意行為者進行針對性的入侵,繞過安全防護,或利用配置錯誤。
研究人員還指出,一些犯罪分子已經在利用這一漏洞。他們在平臺上添加了假 AWS 密鑰,并將其設置為‘24 小時后過期’,但有人在 48 小時后仍然嘗試使用這些密鑰。
“更有意思的是,他們在我們初次上傳和保存后的48小時進行了測試(對于那些數學不太好的人來說,這是在鏈接過期后,‘保存’的內容被刪除的24小時),”watchTowr總結道,提醒用戶上傳內容時要小心。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
