警告：政府、銀行、IT企業の8万件以上のパスワードとキーファイルがオンラインで漏洩

サイバーセキュリティ企業の watchTowr は、人気のオンライン フォーマット ツール、JSON フォーマッタ、CodeBeautify から意図せず公開された大量のパスワード、アクセス キー、機密構成ファイルを発見しました。 

watchTowr Labsは、コードのフォーマットと検証に使用されているサイトから8万件以上のファイルを含むデータセットを収集したと述べています。研究者らは、これらのファイルの中に、ユーザー名、パスワード、リポジトリ認証キー、Active Directorydent情報、データベース接続文字列、FTPdent情報、クラウド環境アクセスキー、LDAP構成の詳細、ヘルプデスクAPIキー、さらにはSSHセッションの記録まで含まれていることを確認しました。 

「開発者が入力内容を素早く整形するために使用するプラットフォーム、例えばJSONFormatterやCodeBeautifyなどを徹底的に調査しました。そして、ご指摘の通り、予想通りひどい結果となりました」と、watchTowrは 公開した 火曜日に 

JSONFormatterやCodeBeautifyといったオンラインユーティリティは、データフォーマットを整形または検証するためのもので、開発者はこれらのツールにコードスニペットや設定ファイルを貼り付けることで、フォーマットの問題をトラブルシューティングできます。しかし、研究者によると、多くの従業員が、本番システムの重要な機密情報を含むファイルを、知らず知らずのうちに貼り付けているという。

JSONとCodeBeautifyが政府、銀行、医療機関からデータを漏洩

セキュリティ企業によると、漏洩したデータの脆弱性は、GitHubリポジトリ、Postmanワークスペース、DockerHubコンテナを含む3つのプラットフォームにはまだ影響を及ぼしていないとのことです。しかし、JSONFormatterから5年分の履歴コンテンツ、CodeBeautifyから1年分の履歴コンテンツが見つかり、合計5ギガバイトを超える、強化・注釈付きのJSONデータが見つかりました。 

「人気が非常に高いため、これらのツールの背後にいる唯一の開発者はかなりのインスピレーションを得ています。どのツールのホームページにアクセスしても、すぐに500以上のWebリクエストがトリガーされ、かなりのアフィリエイトマーケティング収益を生み出していると思われます」とサイバーセキュリティグループは説明しています。

watchTowr Labsは、国家インフラ、政府機関、大手金融機関、保険会社、テクノロジープロバイダー、小売企業、航空宇宙組織、通信会社、病院、大学、旅行会社、さらにはサイバーセキュリティベンダーなどの業界の組織の 個人情報 漏洩したと述べた。

「これらのツールは非常に人気があり、『JSON を美しくする』や『秘密を貼り付けるのに最適な場所』（おそらく証明されていない）などの用語の検索結果の上位に表示され、企業環境と個人プロジェクトの両方で組織や管理者によって使用されています」とセキュリティ研究者のジェイク・ノット氏はブログ投稿に書いています。

watchTowr Labs は、公開されたファイル内で見つかった機密データのいくつかのカテゴリをリストしました。これには、Active Directorydent情報、コード リポジトリ認証キー、データベース アクセスの詳細、LDAP 構成情報、クラウド環境キー、FTP ログインdent情報、CI/CD パイプライン キー、秘密キー、機密パラメータを含む完全な API 要求と応答などが含まれます。

捜査官らはまた、Splunk システムに接続されていた Jenkins の秘密、サイバーセキュリティ企業の暗号化された構成ファイル、銀行の顧客確認情報、大手金融取引所の AWSdent情報についても言及した。 

watchTowr: 悪意のある人物が漏洩情報をスクレイピングしている

watchTowr Labsの被害分析によると、流出したキーの多くは、正体不明の第三者によって収集され、テストされている。ある実験では、研究者らが偽の AWS アクセスキーをフォーマットプラットフォームの1つにアップロードしたところ、わずか2日足らずで、悪意のある攻撃者が認証情報を悪用しようと試みdent。

「誰かがすでにそれを悪用しているというのが主な理由であり、これは本当に愚かなことだ」とノット氏は続けた。「AI主導のエージェントプラットフォームはこれ以上必要ない。重要な組織がランダムなウェブサイトにdent情報を貼り付けるのを減らす必要がある」

JSONFormatterとCodeBeautifyは、セキュリティ上の欠陥が指摘された9月に保存機能を一時的に停止しました。JSONFormatterは「改善に取り組んでいる」と述べ、CodeBeautifyは新たな「強化されたNSFW（職場で閲覧できないコンテンツ）防止対策」を実装中であると発表しました。 

HashiCorp の Vault Terraform プロバイダーにおけるセキュリティ問題

漏洩した認証dentとは別に、サンフランシスコに拠点を置くIBM傘下のHashiCorpは、攻撃者がVault Terraform Providerに認証をバイパスできる脆弱性を発見しました。同社は、開発者、企業、セキュリティ組織向けにクラウドコンピューティングのインフラストラクチャと保護サービスを提供しています。

ソフトウェア会社の 調査結果 、Vault Terraformの脆弱性は、LDAP認証方法における安全でないデフォルト設定が原因で、バージョンv4.2.0からv5.4.0に影響を及ぼします。

この問題は、プロバイダーがVaultのLDAP認証バックエンドを設定する際に、「deny_null_bind」パラメータがtrueではなくfalseに設定されているために発生します。このパラメータは、Vaultが誤ったパスワードや認証されていないバインドを拒否するかどうかを決定します。 

接続された LDAP サーバーが匿名バインドを許可している場合、攻撃者は有効なdent情報がなくてもアカウントを認証してアクセスできます。