Оповещение: в сеть попало более 80 000 файлов паролей и ключей от правительств, банков и технологических компаний.

Компания watchTowr, занимающаяся кибербезопасностью, обнаружила целую кучу украденных паролей, ключей доступа и конфиденциальных файлов конфигурации, которые были непреднамеренно раскрыты из популярных онлайн-инструментов форматирования, JSON-форматера и CodeBeautify. 

Компания watchTowr Labs сообщила о сборе набора данных, содержащего более 80 000 файлов с сайтов, используемых для форматирования и проверки кода. В этих файлах исследователи обнаружили имена пользователей, пароли, ключи аутентификации репозитория,dentданные Active Directory, строки подключения к базе данных,dentданные FTP, ключи доступа к облачной среде, данные конфигурации LDAP, ключи API службы поддержки и даже записи сеансов SSH. 

«Мы тщательно изучали платформы, которые разработчики используют для быстрого форматирования входных данных, — такие как JSONFormatter и CodeBeautify. И да, вы правы — всё прошло именно так плохо, как и можно было ожидать», — говорится в сообщении блога watchTowr, опубликованном во вторник. 

Онлайн-утилиты, такие как JSONFormatter и CodeBeautify, предназначены для оформления и проверки форматов данных, позволяя разработчикам вставлять в них фрагменты кода или файлы конфигурации для устранения проблем с форматированием. Однако, по словам исследователей, многие сотрудники неосознанно вставляют целые файлы, содержащие секретную информацию из рабочих систем.

JSON и CodeBeautify утекают данные из правительства, банков и учреждений здравоохранения

По данным ИБ-компании, утечка данных пока не затронула три платформы, включая репозитории GitHub, рабочие пространства Postman и контейнеры DockerHub. Однако были обнаружены пять лет архивного контента JSONFormatter и один год архивного контента CodeBeautify, что в общей сложности составляет более 5 гигабайт обогащённого и аннотированного JSON-контента. 

«Популярность настолько велика, что единственный разработчик этих инструментов действительно воодушевлен: типичное посещение домашней страницы любого инструмента довольно быстро запускает более 500 веб-запросов, что, как мы полагаем, приносит неплохие доходы от партнерского маркетинга», — пояснила группа по кибербезопасности.

организаций из таких отраслей, как национальная инфраструктура, правительственные агентства, крупные финансовые учреждения, страховые компании, поставщики технологий, розничные фирмы, аэрокосмические организации, телекоммуникационные компании, больницы, университеты, туристические компании и даже поставщики услуг кибербезопасности подверглись утечке конфиденциальная информация .

«Эти инструменты чрезвычайно популярны, они появляются в верхней части результатов поиска по таким запросам, как «JSON beautify» и «лучшее место для вставки секретов» (вероятно, без доказательств), и используются организациями и администраторами как в корпоративных средах, так и для личных проектов», — написал в своем блоге исследователь по вопросам безопасности Джейк Нотт.

watchTowr Labs перечислила несколько категорий конфиденциальных данных, обнаруженных в уязвимых файлах, таких какdentданные Active Directory, ключи аутентификации репозитория кода, сведения о доступе к базе данных, информация о конфигурации LDAP, ключи облачной среды,dentданные для входа в FTP, ключи конвейера CI/CD, закрытые ключи, а также полные запросы и ответы API с конфиденциальными параметрами.

Следователи также упомянули секреты Jenkins, зашифрованные файлы конфигурации, принадлежащие фирме по кибербезопасности, информацию Know Your Customer из банков иdentданные AWS, принадлежащие крупной финансовой бирже, которые были подключены к системам Splunk. 

watchTowr: Злоумышленники копаются в утечках

Согласно анализу ущерба, проведенному watchTowr Labs, многие из утекших ключей были собраны и протестированы неизвестными лицами. В ходе эксперимента исследователи загрузили поддельные AWS на одну из платформ форматирования, и менее чем за два дня злоумышленники попытались использовать эти учетныеdent.

«В основном потому, что кто-то уже этим пользуется, и все это очень, очень глупо», — продолжил Нотт. «Нам не нужно больше платформ агентов, управляемых искусственным интеллектом; нам нужно меньше критически важных организаций, вставляющихdentданные на случайные веб-сайты».

JSONFormatter и CodeBeautify временно отключили функцию сохранения в сентябре, когда им сообщили об уязвимости безопасности. JSONFormatter «работал над её улучшением», а CodeBeautify заявила о внедрении новых «улучшенных мер по защите от контента NSFW (небезопасного для работы)». 

Проблема безопасности в поставщике Vault Terraform от HashiCorp

Помимо утечки учётныхdent, компания IBM HashiCorp из Сан-Франциско обнаружила уязвимость, которая позволяла злоумышленникам обходить аутентификацию в её Vault Terraform Provider. Компания предоставляет разработчикам, компаниям и службам безопасности облачную вычислительную инфраструктуру и услуги защиты.

компании-разработчика программного обеспечения, результатам расследования опубликованным во вторник, уязвимость Vault Terraform затрагивает версии от v4.2.0 до v5.4.0 из-за небезопасной конфигурации по умолчанию в методе аутентификации LDAP.

Проблема возникает из-за того, что параметр deny_null_bind при настройке серверной части аутентификации LDAP в Vault провайдером устанавливается в значение false вместо true. Этот параметр определяет, будет ли Vault отклонять неверный пароль или неаутентифицированные привязки. 

Если подключенный сервер LDAP допускает анонимные привязки, злоумышленники могут пройти аутентификацию и получить доступ к учетным записям без каких-либо действительныхdentданных.