Оповещение: в сеть попало более 80 000 файлов паролей и ключей от правительств, банков и технологических компаний.

Компания watchTowr, занимающаяся кибербезопасностью, обнаружила целую кучу украденных паролей, ключей доступа и конфиденциальных файлов конфигурации, которые были непреднамеренно раскрыты из популярных онлайн-инструментов форматирования, JSON-форматера и CodeBeautify. 

Компания watchTowr Labs сообщила о сборе набора данных, содержащего более 80 000 файлов с сайтов, используемых для форматирования и проверки кода. В этих файлах исследователи обнаружили имена пользователей, пароли, ключи аутентификации репозитория,dentданные Active Directory, строки подключения к базе данных,dentданные FTP, ключи доступа к облачной среде, данные конфигурации LDAP, ключи API службы поддержки и даже записи сеансов SSH. 

«Мы тщательно изучали платформы, которые разработчики используют для быстрого форматирования входных данных, — такие как JSONFormatter и CodeBeautify. И да, вы правы — всё прошло именно так плохо, как и можно было ожидать», — говорится в сообщении блога watchTowr, опубликованном во вторник. 

Онлайн-утилиты, такие как JSONFormatter и CodeBeautify, предназначены для оформления и проверки форматов данных, позволяя разработчикам вставлять в них фрагменты кода или файлы конфигурации для устранения проблем с форматированием. Однако, по словам исследователей, многие сотрудники неосознанно вставляют целые файлы, содержащие секретную информацию из рабочих систем.

JSON и CodeBeautify утекают данные из правительства, банков и учреждений здравоохранения

По данным ИБ-компании, утечка данных пока не затронула три платформы, включая репозитории GitHub, рабочие пространства Postman и контейнеры DockerHub. Однако были обнаружены пять лет архивного контента JSONFormatter и один год архивного контента CodeBeautify, что в общей сложности составляет более 5 гигабайт обогащённого и аннотированного JSON-контента. 

«Популярность настолько велика, что единственный разработчик этих инструментов действительно воодушевлен: типичное посещение домашней страницы любого инструмента довольно быстро запускает более 500 веб-запросов, что, как мы полагаем, приносит неплохие доходы от партнерского маркетинга», — пояснила группа по кибербезопасности.

По данным watchTowr Labs, конфиденциальная информация организаций из таких отраслей, как национальная инфраструктура, правительственные агентства, крупные финансовые учреждения, страховые компании, поставщики технологий, розничные фирмы, аэрокосмические организации, телекоммуникационные компании, больницы, университеты, туристические компании и даже поставщики услуг кибербезопасности подверглись утечке .

«Эти инструменты чрезвычайно популярны, они появляются в верхней части результатов поиска по таким запросам, как «JSON beautify» и «лучшее место для вставки секретов» (вероятно, без доказательств), и используются организациями и администраторами как в корпоративных средах, так и для личных проектов», — написал в своем блоге исследователь по вопросам безопасности Джейк Нотт.

watchTowr Labs перечислила несколько категорий конфиденциальных данных, обнаруженных в уязвимых файлах, таких какdentданные Active Directory, ключи аутентификации репозитория кода, сведения о доступе к базе данных, информация о конфигурации LDAP, ключи облачной среды,dentданные для входа в FTP, ключи конвейера CI/CD, закрытые ключи, а также полные запросы и ответы API с конфиденциальными параметрами.

Следователи также упомянули секреты Jenkins, зашифрованные файлы конфигурации, принадлежащие фирме по кибербезопасности, информацию Know Your Customer из банков иdentданные AWS, принадлежащие крупной финансовой бирже, которые были подключены к системам Splunk. 

watchTowr: Злоумышленники копаются в утечках

Согласно анализу ущерба, проведенному watchTowr Labs, многие из утекших ключей были собраны и протестированы неизвестными лицами. В ходе эксперимента исследователи загрузили поддельные AWS на одну из платформ форматирования, и менее чем за два дня злоумышленники попытались использовать эти учетныеdent.

«В основном потому, что кто-то уже этим пользуется, и все это очень, очень глупо», — продолжил Нотт. «Нам не нужно больше платформ агентов, управляемых искусственным интеллектом; нам нужно меньше критически важных организаций, вставляющихdentданные на случайные веб-сайты».

JSONFormatter и CodeBeautify временно отключили функцию сохранения в сентябре, когда им сообщили об уязвимости безопасности. JSONFormatter «работал над её улучшением», а CodeBeautify заявила о внедрении новых «улучшенных мер по защите от контента NSFW (небезопасного для работы)». 

Проблема безопасности в поставщике Vault Terraform от HashiCorp

Помимо утечки учётныхdent, компания IBM HashiCorp из Сан-Франциско обнаружила уязвимость, которая позволяла злоумышленникам обходить аутентификацию в её Vault Terraform Provider. Компания предоставляет разработчикам, компаниям и службам безопасности облачную вычислительную инфраструктуру и услуги защиты.

Согласно результатам расследования компании-разработчика программного обеспечения, опубликованным во вторник, уязвимость Vault Terraform затрагивает версии от v4.2.0 до v5.4.0 из-за небезопасной конфигурации по умолчанию в методе аутентификации LDAP.

Проблема возникает из-за того, что параметр deny_null_bind при настройке серверной части аутентификации LDAP в Vault провайдером устанавливается в значение false вместо true. Этот параметр определяет, будет ли Vault отклонять неверный пароль или неаутентифицированные привязки. 

Если подключенный сервер LDAP допускает анонимные привязки, злоумышленники могут пройти аутентификацию и получить доступ к учетным записям без каких-либо действительныхdentданных.