警报：超过8万个来自政府机构、银行和科技公司的密码和密钥文件在网上泄露

网络安全公司 watchTowr 发现了一批泄露的密码、访问密钥和敏感配置文件，这些文件由于流行的在线格式化工具、JSON 格式化程序和 CodeBeautify 的无意泄露而暴露出来。 

watchTowr Labs表示，他们收集了一个包含超过8万个文件的数据集，这些文件来自用于格式化和验证代码的网站。在这些文件中，研究人员发现了用户名、密码、存储库身份验证密钥、Active Directorydent、数据库连接字符串、FTPdent、云环境访问密钥、LDAP配置详细信息、服务台API密钥，甚至还有SSH会话的记录。 

“我们一直在研究开发者用来快速格式化输入数据的平台，比如 JSONFormatter 和 CodeBeautify。没错，你猜对了——结果和你预想的一样糟糕，”watchTowr 发布 在周二 

诸如 JSONFormatter 和 CodeBeautify 之类的在线工具旨在美化或验证数据格式，开发人员会将代码片段或配置文件粘贴到这些工具中以排查格式问题。但据研究人员称，许多员工在不知情的情况下粘贴了包含生产系统中实时密钥的整个文件。

JSON 和 CodeBeautify 泄露了来自政府、银行和医疗保健机构的数据。

据这家安全公司称，此次数据泄露漏洞尚未影响到三个平台，包括 GitHub 代码库、Postman 工作区和 DockerHub 容器。然而，该公司发现了来自 JSONFormatter 的五年历史数据和来自 CodeBeautify 的一年历史数据，总计超过 5 GB 的已增强和带注释的 JSON 数据。 

“这些工具非常受欢迎，以至于其背后的唯一开发者受到了极大的鼓舞——通常情况下，访问任何工具的主页都会很快触发 500 多个网络请求，从而产生我们认为非常可观的联盟营销收入，”该网络安全组织解释说。

watchTowr Labs 表示，来自国家基础设施、政府机构、大型金融机构、保险公司、技术提供商、零售公司、航空航天组织、电信公司、医院、大学、旅游企业，甚至网络安全供应商等行业的组织，其 私人信息 泄露。

安全研究员杰克·诺特在博客文章中写道：“这些工具非常受欢迎，在诸如‘JSON 美化’和‘粘贴密钥的最佳位置’（可能未经证实）等关键词的搜索结果中排名靠前，被企业环境和个人项目中的组织和管理员广泛使用。”

watchTowr Labs 列出了在泄露的文件中发现的几类敏感数据，例如 Active Directorydent、代码库身份验证密钥、数据库访问详细信息、LDAP 配置信息、云环境密钥、FTP 登录dent、CI/CD 管道密钥、私钥以及包含敏感参数的完整 API 请求和响应。

调查人员还提到了与 Splunk 系统关联的 Jenkins 机密信息、属于一家网络安全公司的加密配置文件、银行的“了解你的客户”信息以及属于一家大型金融交易所的 AWSdent。 

watchTowr：恶意行为者正在窃取泄露信息

根据watchTowr Labs的损害分析，许多泄露的密钥已被身份不明的第三方收集并测试。在一项实验中，研究人员将伪造的 AWS 访问密钥上传到某个格式化平台，不到两天，恶意攻击者就试图滥用这些dent。

“主要是因为已经有人在利用它了，而且这一切都非常非常愚蠢，”诺特继续说道，“我们不需要更多人工智能驱动的代理平台；我们需要的是减少关键组织将dent粘贴到随机网站上的行为。”

JSONFormatter 和 CodeBeautify 在 9 月份得知安全漏洞后，暂时关闭了保存功能。JSONFormatter 表示正在“努力改进”，而 CodeBeautify 则表示正在实施新的“增强型 NSFW（不适宜工作场所观看）内容预防措施”。 

HashiCorp 的 Vault Terraform 提供程序存在安全问题

除了泄露的dent之外，总部位于旧金山的IBM旗下公司HashiCorp还发现了一个漏洞，该漏洞可能允许攻击者绕过其Vault Terraform Provider的身份验证。该公司为开发人员、企业和安全机构提供云计算基础设施和保护服务。

根据该软件公司 调查结果 周二公布的

出现此问题的原因是，当提供商配置 Vault 的 LDAP 身份验证后端时，“deny_null_bind”参数被设置为 false 而不是 true。该参数决定 Vault 是否拒绝错误的密码或未经身份验证的绑定。 

如果连接的 LDAP 服务器允许匿名绑定，攻击者无需任何有效dent即可进行身份验证并访问帐户。