Alerte : Plus de 80 000 mots de passe et fichiers de clés provenant de gouvernements, de banques et d'entreprises technologiques ont fuité en ligne.

La société de cybersécurité watchTowr a découvert une mine de mots de passe, de clés d'accès et de fichiers de configuration sensibles divulgués involontairement par des outils de formatage en ligne populaires, JSON formatter et CodeBeautify. 

watchTowr Labs a déclaré avoir collecté un ensemble de données contenant plus de 80 000 fichiers provenant de sites utilisés pour formater et valider du code. Dans ces fichiers, les chercheurs ont trouvé des noms d'utilisateur, des mots de passe, des clés d'authentification de référentiel,dentActive Directory, des chaînes de connexion à des bases de données,dentFTP, des clés d'accès à des environnements cloud, des détails de configuration LDAP, des clés API de support technique, et même des enregistrements de sessions SSH. 

« Nous avons passé au crible les plateformes utilisées par les développeurs pour formater rapidement leurs données, comme JSONFormatter et CodeBeautify. Et oui, vous avez raison : le résultat a été exactement aussi catastrophique que prévu », peut-on lire dans l’article de blog de watchTowr publié mardi. 

Des outils en ligne comme JSONFormatter et CodeBeautify sont conçus pour formater ou valider les données ; les développeurs y collent des extraits de code ou de fichiers de configuration pour résoudre les problèmes de formatage. Or, selon des chercheurs, de nombreux employés collent sans le savoir des fichiers entiers contenant des données sensibles issues des systèmes de production.

JSON et CodeBeautify divulguent des données provenant des gouvernements, des banques et du secteur de la santé.

Selon la société de sécurité, la faille de sécurité exploitée n'a pas encore affecté trois plateformes : les dépôts GitHub, les espaces de travail Postman et les conteneurs DockerHub. Elle a toutefois découvert cinq années d'historique de données dans JSONFormatter et une année dans CodeBeautify, soit plus de 5 gigaoctets de données JSON enrichies et annotées. 

« La popularité est telle que le développeur unique à l'origine de ces outils est plutôt inspiré – une simple visite sur la page d'accueil de n'importe quel outil déclenche rapidement plus de 500 requêtes web, générant ce que nous supposons être de jolis revenus de marketing d'affiliation », a expliqué le groupe de cybersécurité.

Selon watchTowr Labs, des organisations issues de secteurs tels que les infrastructures nationales, les agences gouvernementales, les grandes institutions financières, les compagnies d'assurance, les fournisseurs de technologies, les entreprises de vente au détail, les organisations aérospatiales, les télécommunications, les hôpitaux, les universités, les entreprises de voyage et même les fournisseurs de cybersécurité ont toutes vu leurs informations privées exposées.

« Ces outils sont extrêmement populaires, apparaissant en haut des résultats de recherche pour des termes comme « embellissement JSON » et « meilleur endroit pour coller des secrets » (probablement, non prouvé), utilisés par les organisations et les administrateurs aussi bien dans les environnements d'entreprise que pour des projets personnels », a écrit le chercheur en sécurité Jake Knott dans l'article de blog.

watchTowr Labs a répertorié plusieurs catégories de données sensibles trouvées dans les fichiers exposés, telles que lesdentActive Directory, les clés d'authentification du référentiel de code, les détails d'accès à la base de données, les informations de configuration LDAP, les clés de l'environnement cloud, lesdentde connexion FTP, les clés du pipeline CI/CD, les clés privées et les requêtes et réponses API complètes avec des paramètres sensibles.

Les enquêteurs ont également mentionné des secrets Jenkins, des fichiers de configuration chiffrés appartenant à une entreprise de cybersécurité, des informations KYC (Know Your Customer) provenant de banques etdentAWS appartenant à une grande place financière qui étaient connectés aux systèmes Splunk. 

watchTowr : Des acteurs malveillants récupèrent les fuites

D'après l'analyse des dommages réalisée par watchTowr Labs, de nombreuses clés divulguées ont été collectées et testées par des tiers non identifiés. Lors d'une expérience, des chercheurs ont téléchargé de fausses AWS sur une plateforme de formatage, et en moins de deux jours, des personnes malveillantes ont tenté d'exploiter cesdent.

« Principalement parce que quelqu'un l'exploite déjà, et tout cela est vraiment, vraiment stupide », a poursuivi Knott, « nous n'avons pas besoin de plus de plateformes d'agents pilotées par l'IA ; nous avons besoin de moins d'organisations critiques collant leursdentsur des sites web aléatoires. »

JSONFormatter et CodeBeautify ont temporairement désactivé leur fonction d'enregistrement en septembre, suite à la découverte d'une faille de sécurité. JSONFormatter a indiqué « travailler à l'amélioration du système », tandis que CodeBeautify a annoncé la mise en place de nouvelles « mesures renforcées de prévention des contenus inappropriés au travail ». 

Problème de sécurité dans le fournisseur Terraform Vault de HashiCorp

En marge de la fuitedent, HashiCorp, une entreprise d'IBM basée à San Francisco, a découvert une vulnérabilité permettant à des attaquants de contourner l'authentification dans son fournisseur Vault Terraform. Cette entreprise fournit aux développeurs, aux entreprises et aux organismes de sécurité des services d'infrastructure et de protection en cloud computing.

de l'entreprise de logiciels les conclusions partagées mardi, la faille Terraform de Vault affecte les versions v4.2.0 à v5.4.0 en raison d'une configuration par défaut non sécurisée dans la méthode d'authentification LDAP.

Le problème survient car le paramètre « deny_null_bind » est défini sur false au lieu de true lors de la configuration du système d'authentification LDAP de Vault par le fournisseur. Ce paramètre détermine si Vault rejette un mot de passe incorrect ou les connexions non authentifiées. 

Si le serveur LDAP connecté autorise les connexions anonymes, les attaquants peuvent s'authentifier et accéder aux comptes sans aucundentvalide.