Warnung: Über 80.000 Passwort- und Schlüsseldateien von Regierungen, Banken und Technologieunternehmen online veröffentlicht

Das Cybersicherheitsunternehmen watchTowr hat eine Fülle von durchgesickerten Passwörtern, Zugriffsschlüsseln und sensiblen Konfigurationsdateien aufgedeckt, die unbeabsichtigt durch beliebte Online-Formatierungstools, JSON-Formatter und CodeBeautify offengelegt wurden. 

watchTowr Labs gab bekannt, einen Datensatz mit über 80.000 Dateien von Websites gesammelt zu haben, die zur Formatierung und Validierung von Code verwendet werden. In diesen Dateien fanden die Forscher Benutzernamen, Passwörter, Authentifizierungsschlüssel für Repositories, Active Directory-dent, Datenbankverbindungszeichenfolgen, FTP-dent, Zugriffsschlüssel für Cloud-Umgebungen, LDAP-Konfigurationsdetails, Helpdesk-API-Schlüssel und sogar Aufzeichnungen von SSH-Sitzungen. 

„Wir haben uns durch verschiedene Plattformen gewühlt, die Entwickler zur schnellen Formatierung ihrer Eingaben nutzen – wie JSONFormatter und CodeBeautify. Und ja, Sie haben Recht – es lief genauso schlecht, wie Sie es erwarten würden“, hieß es in einem Blogbeitrag von watchTowr, der veröffentlicht wurde am Dienstag 

Online-Tools wie JSONFormatter und CodeBeautify dienen der Formatierung und Validierung von Daten. Entwickler fügen dort Code-Schnipsel oder Konfigurationsdateien ein, um Formatierungsprobleme zu beheben. Laut Forschern fügen jedoch viele Mitarbeiter unwissentlich ganze Dateien ein, die sensible Daten aus Produktivsystemen enthalten.

JSON und CodeBeautify führen zu Datenlecks bei Regierungsbehörden, Banken und dem Gesundheitswesen.

Laut dem Sicherheitsunternehmen hat die durchgesickerte Datenlücke bisher drei Plattformen nicht beeinträchtigt, darunter GitHub-Repositories, Postman-Workspaces und DockerHub-Container. Allerdings wurden fünf Jahre an historischen Daten von JSONFormatter und ein Jahr an historischen Daten von CodeBeautify gefunden, insgesamt mehr als 5 Gigabyte an angereichertem und annotiertem JSON-Material. 

„Die Popularität ist so groß, dass der einzige Entwickler hinter diesen Tools ziemlich inspiriert ist – ein typischer Besuch auf der Homepage eines beliebigen Tools löst innerhalb kürzester Zeit mehr als 500 Webanfragen aus, die vermutlich zu einem beträchtlichen Affiliate-Marketing-Umsatz führen“, erklärte die Cybersicherheitsgruppe.

von Organisationen aus Branchen wie der nationalen Infrastruktur, Regierungsbehörden, großen Finanzinstituten, Versicherungsgesellschaften, Technologieanbietern, Einzelhandelsunternehmen, Luft- und Raumfahrtorganisationen, Telekommunikationsunternehmen, Krankenhäusern, Universitäten, Reiseunternehmen und sogar Anbietern von Cybersicherheit privaten Daten offengelegt.

„Diese Tools sind extrem beliebt und erscheinen weit oben in den Suchergebnissen für Begriffe wie ‚JSON beautify‘ und ‚bester Ort zum Einfügen von Geheimnissen‘ (wahrscheinlich, unbewiesen). Sie werden von Organisationen und Administratoren sowohl in Unternehmensumgebungen als auch für persönliche Projekte verwendet“, schrieb der Sicherheitsforscher Jake Knott in dem Blogbeitrag.

watchTowr Labs listete mehrere Kategorien sensibler Daten auf, die in den offengelegten Dateien gefunden wurden, wie z. B. Active Directorydent, Authentifizierungsschlüssel für Code-Repositorys, Datenbankzugriffsdaten, LDAP-Konfigurationsinformationen, Cloud-Umgebungsschlüssel, FTP-dent, CI/CD-Pipeline-Schlüssel, private Schlüssel sowie vollständige API-Anfragen und -Antworten mit sensiblen Parametern.

Die Ermittler erwähnten außerdem Jenkins-Geheimnisse, verschlüsselte Konfigurationsdateien eines Cybersicherheitsunternehmens, KYC-Informationen von Banken sowie AWS-denteiner großen Finanzbörse, die mit Splunk-Systemen verbunden waren. 

watchTowr: Böswillige Akteure sammeln die Leaks.

Laut einer Schadensanalyse von watchTowr Labs wurden viele der geleakten Schlüssel von Unbekannten gesammelt und getestet. In einem Experiment luden Forscher gefälschte AWS- Zugriffsschlüssel auf eine Formatierungsplattform hoch, und innerhalb von nur zwei Tagen versuchten Angreifer, die Zugangsdaten zudent.

„Vor allem, weil es bereits jemand ausnutzt, und das ist alles wirklich, wirklich dumm“, fuhr Knott fort. „Wir brauchen nicht noch mehr KI-gesteuerte Agentenplattformen; wir brauchen weniger kritische Organisationen, diedentauf beliebigen Websites einfügen.“

JSONFormatter und CodeBeautify haben ihre Speicherfunktion im September vorübergehend deaktiviert, nachdem sie auf die Sicherheitslücke aufmerksam gemacht wurden. JSONFormatter gab an, an einer Verbesserung zu arbeiten, während CodeBeautify mitteilte, neue, verbesserte Maßnahmen zur Verhinderung von nicht jugendfreien Inhalten zu implementieren. 

Sicherheitsproblem im Vault Terraform Provider von HashiCorp

Abgesehen von den durchgesickertendententdeckte das in San Francisco ansässige IBM-Unternehmen HashiCorp eine Sicherheitslücke, die es Angreifern ermöglichen könnte, die Authentifizierung in seinem Vault Terraform Provider zu umgehen. HashiCorp bietet Entwicklern, Unternehmen und Sicherheitsorganisationen Cloud-Computing-Infrastruktur und Schutzdienste an.

des Softwareunternehmens Erkenntnissen betrifft die Sicherheitslücke in Vault Terraform die Versionen v4.2.0 bis v5.4.0 aufgrund einer unsicheren Standardkonfiguration in der LDAP-Authentifizierungsmethode.

Das Problem entsteht, weil der Parameter „deny_null_bind“ beim Konfigurieren des LDAP-Authentifizierungs-Backends von Vault durch den Provider auf „false“ anstatt auf „true“ gesetzt ist. Dieser Parameter legt fest, ob Vault ein falsches Passwort oder nicht authentifizierte Bindungen ablehnt. 

Wenn der verbundene LDAP-Server anonyme Bindungen zulässt, können Angreifer sich authentifizieren und auf Konten zugreifen, ohne gültigedentzu besitzen.