Attenzione: oltre 80.000 password e file chiave di governi, banche e aziende tecnologiche sono trapelati online

L'azienda di sicurezza informatica watchTowr ha scoperto una serie di password, chiavi di accesso e file di configurazione sensibili trapelati, involontariamente esposti tramite i popolari strumenti di formattazione online, JSON Formatter e CodeBeautify. 

watchTowr Labs ha affermato di aver raccolto un set di dati contenente oltre 80.000 file da siti utilizzati per formattare e convalidare il codice. All'interno di questi file, i ricercatori hanno trovato nomi utente, password, chiavi di autenticazione del repository,dentdi Active Directory, stringhe di connessione al database,dentFTP, chiavi di accesso all'ambiente cloud, dettagli di configurazione LDAP, chiavi API dell'helpdesk e persino registrazioni di sessioni SSH. 

"Abbiamo passato in rassegna le piattaforme che gli sviluppatori usano per formattare rapidamente i loro input, come JSONFormatter e CodeBeautify. E sì, avete ragione: è andata esattamente male come ci si poteva aspettare", si legge nel post del blog di watchTowr pubblicato martedì. 

Utilità online come JSONFormatter e CodeBeautify sono pensate per migliorare o convalidare i formati dei dati, dove gli sviluppatori incollano frammenti di codice o file di configurazione per risolvere problemi di formattazione. Tuttavia, secondo i ricercatori, molti dipendenti incollano inconsapevolmente interi file contenenti informazioni riservate provenienti dai sistemi di produzione.

JSON e CodeBeautify trapelano dati da governi, banche e sanità

Secondo l'azienda di sicurezza, la falla nei dati trapelata non ha ancora interessato tre piattaforme, tra cui i repository GitHub, gli spazi di lavoro Postman e i container DockerHub. Tuttavia, ha individuato cinque anni di contenuti storici da JSONFormatter e un anno di contenuti storici da CodeBeautify, per un totale di oltre 5 gigabyte di materiale JSON arricchito e annotato. 

"La popolarità è così grande che l'unico sviluppatore dietro questi strumenti è piuttosto ispirato: una tipica visita alla homepage di uno strumento innesca rapidamente più di 500 richieste web, generando quello che presumiamo essere un ottimo fatturato di marketing di affiliazione", ha spiegato il gruppo di sicurezza informatica.

di organizzazioni di settori quali infrastrutture nazionali, agenzie governative, importanti istituzioni finanziarie, compagnie assicurative, fornitori di tecnologia, aziende di vendita al dettaglio, organizzazioni aerospaziali, società di telecomunicazioni, ospedali, università, agenzie di viaggio e persino fornitori di sicurezza informatica sono state tutte le informazioni private esposte.

"Questi strumenti sono estremamente popolari e compaiono in cima ai risultati di ricerca per termini come 'JSON beautify' e 'best place to paste secrets' (probabilmente non comprovati), utilizzati da organizzazioni e amministratori sia in ambienti aziendali che per progetti personali", ha scritto il ricercatore di sicurezza Jake Knott nel post del blog.

watchTowr Labs ha elencato diverse categorie di dati sensibili trovati nei file esposti, comedentdi Active Directory, chiavi di autenticazione del repository di codice, dettagli di accesso al database, informazioni di configurazione LDAP, chiavi dell'ambiente cloud,dentdi accesso FTP, chiavi della pipeline CI/CD, chiavi private e richieste e risposte API complete con parametri sensibili.

Gli investigatori hanno menzionato anche i segreti di Jenkins, file di configurazione crittografati appartenenti a un'azienda di sicurezza informatica, informazioni Know Your Customer provenienti da banche edentAWS appartenenti a un importante exchange finanziario che erano collegati ai sistemi Splunk. 

watchTowr: Gli attori malintenzionati stanno raschiando le fughe di notizie

Secondo l'analisi dei danni condotta da watchTowr Labs, molte delle chiavi trapelate sono state raccolte e testate da soggetti sconosciuti. In un esperimento, i ricercatori hanno caricato false AWS su una delle piattaforme di formattazione e, in meno di due giorni, malintenzionati hanno tentato di utilizzare impropriamente ledent.

"Soprattutto perché qualcuno lo sta già sfruttando, e tutto questo è davvero, davvero stupido", ha continuato Knott, "non abbiamo bisogno di più piattaforme di agenti basate sull'intelligenza artificiale; abbiamo bisogno di meno organizzazioni critiche che inserisconodentin siti web casuali".

JSONFormatter e CodeBeautify hanno temporaneamente disattivato la funzionalità di salvataggio a settembre, quando la falla di sicurezza è stata segnalata loro. JSONFormatter stava "lavorando per migliorarla", mentre CodeBeautify ha affermato di star implementando nuove "misure avanzate di prevenzione dei contenuti NSFW (Not Safe For Work)". 

Problema di sicurezza nel provider Vault Terraform di HashiCorp

Oltre alledenttrapelate, HashiCorp, azienda IBM con sede a San Francisco, ha scoperto una vulnerabilità che potrebbe consentire agli aggressori di bypassare l'autenticazione nel suo Vault Terraform Provider. L'azienda fornisce a sviluppatori, aziende e organizzazioni di sicurezza infrastrutture di cloud computing e servizi di protezione.

dalla società di software emerso dalle indagini , la vulnerabilità di Vault Terraform interessa le versioni dalla v4.2.0 alla v5.4.0 a causa di una configurazione predefinita non sicura nel metodo di autenticazione LDAP.

Il problema si verifica perché il parametro "deny_null_bind" è impostato su false anziché true quando il provider configura il backend di autenticazione LDAP di Vault. Il parametro determina se Vault rifiuta una password errata o associazioni non autenticate. 

Se il server LDAP connesso consente associazioni anonime, gli aggressori possono autenticarsi e accedere agli account senzadentvalide.