Компания по кибербезопасности watchTowr Labs опубликовала отчет, подготовленный исследователем безопасности Джейком Ноттом (Jake Knott) и переданный изданию The Hacker News. Расследование раскрыло масштабную утечку учетных данных и чувствительной информации, возникшую из-за массового использования сотрудниками организаций онлайн-инструментов для форматирования кода. Главными фигурантами инцидента стали сервисы JSONFormatter (jsonformatter.org) и CodeBeautify (codebeautify.org), которые широко применяются разработчиками для валидации, форматирования и улучшения читаемости структур JSON и программного кода.
В ходе анализа эксперты обнаружили более 80 000 файлов, попавших в открытый доступ, общий объем которых превысил 5 ГБ обогащенных и аннотированных данных JSON. Глубина архива доступной информации варьируется в зависимости от платформы: для JSONFormatter был выявлен исторический контент за последние пять лет, в то время как для CodeBeautify исследователи смогли получить данные за один год.
Массив скомпрометированных файлов затрагивает широкий спектр критически важных секторов экономики и государственного управления. Утечки коснулись объектов национальной инфраструктуры, правительственных учреждений, финансового и банковского секторов, страхования, технологических компаний и ритейла. Кроме того, пострадали организации в сферах аэрокосмической промышленности, телекоммуникаций, здравоохранения, образования, туризма и даже самой индустрии кибербезопасности.
Исследование watchTowr Labs классифицировало тысячи единиц специфической конфиденциальной информации. Среди утекших данных были обнаружены имена пользователей, пароли, ключи аутентификации репозиториев, учетные данные Active Directory, а также доступы к базам данных и FTP-серверам. В открытом доступе также оказались ключи облачных сред, информация о конфигурации LDAP, API-ключи служб технической поддержки и систем бронирования переговорных комнат, записи сессий SSH и различная персональная информация сотрудников и клиентов.
Реальные примеры, найденные исследователями, демонстрируют высокую критичность утечки. В логах были обнаружены секреты Jenkins, зашифрованные учетные данные для конфигурационных файлов, принадлежащих компании по кибербезопасности, и информация процедуры «Знай своего клиента» (KYC), связанная с одним из банков. Также специалисты нашли учетные данные AWS, привязанные к платформе Splunk крупной финансовой биржи, и учетные данные Active Directory еще одного банка.
Технической причиной утечки стал функционал сохранения («Save»), предлагаемый обоими инструментами. Использование этой опции создавало полупостоянную ссылку, доступную для любого пользователя интернета без необходимости аутентификации. Сгенерированные URL-адреса формировались по предсказуемым шаблонам, таким как
Для проверки гипотезы об активной эксплуатации уязвимости специалисты watchTowr провели эксперимент с использованием приманки (honeypot), загрузив в один из инструментов поддельные ключи доступа AWS. Результат показал, что злоумышленники пытались использовать эти ключи в течение 48 часов после их сохранения. Это подтверждает вывод о том, что скраперы и киберпреступники активно мониторят подобные ресурсы в поисках ценной информации.
В ответ на инцидент и JSONFormatter, и CodeBeautify временно отключили функцию сохранения данных. Официально представители сервисов заявили, что «работают над улучшением» функционала и внедряют «усиленные меры по предотвращению контента NSFW (Not Safe For Work)». Однако в watchTowr полагают, что эти изменения, предположительно внесенные в сентябре, стали прямой реакцией на их исследование и уведомления, разосланные пострадавшим организациям.
Комментируя ситуацию, Джейк Нотт отметил чрезвычайную популярность этих инструментов, часто появляющихся в топе поисковой выдачи по запросам вроде «JSON beautify» и, возможно, «лучшее место для вставки секретов». Исследователь резюмировал проблему следующим образом: «В основном это происходит потому, что кто-то уже эксплуатирует это, и все это действительно, действительно глупо. Нам не нужно больше платформ агентных агентов на базе ИИ; нам нужно меньше критически важных организаций, вставляющих учетные данные на случайные веб-сайты».
Изображение носит иллюстративный характер
В ходе анализа эксперты обнаружили более 80 000 файлов, попавших в открытый доступ, общий объем которых превысил 5 ГБ обогащенных и аннотированных данных JSON. Глубина архива доступной информации варьируется в зависимости от платформы: для JSONFormatter был выявлен исторический контент за последние пять лет, в то время как для CodeBeautify исследователи смогли получить данные за один год.
Массив скомпрометированных файлов затрагивает широкий спектр критически важных секторов экономики и государственного управления. Утечки коснулись объектов национальной инфраструктуры, правительственных учреждений, финансового и банковского секторов, страхования, технологических компаний и ритейла. Кроме того, пострадали организации в сферах аэрокосмической промышленности, телекоммуникаций, здравоохранения, образования, туризма и даже самой индустрии кибербезопасности.
Исследование watchTowr Labs классифицировало тысячи единиц специфической конфиденциальной информации. Среди утекших данных были обнаружены имена пользователей, пароли, ключи аутентификации репозиториев, учетные данные Active Directory, а также доступы к базам данных и FTP-серверам. В открытом доступе также оказались ключи облачных сред, информация о конфигурации LDAP, API-ключи служб технической поддержки и систем бронирования переговорных комнат, записи сессий SSH и различная персональная информация сотрудников и клиентов.
Реальные примеры, найденные исследователями, демонстрируют высокую критичность утечки. В логах были обнаружены секреты Jenkins, зашифрованные учетные данные для конфигурационных файлов, принадлежащих компании по кибербезопасности, и информация процедуры «Знай своего клиента» (KYC), связанная с одним из банков. Также специалисты нашли учетные данные AWS, привязанные к платформе Splunk крупной финансовой биржи, и учетные данные Active Directory еще одного банка.
Технической причиной утечки стал функционал сохранения («Save»), предлагаемый обоими инструментами. Использование этой опции создавало полупостоянную ссылку, доступную для любого пользователя интернета без необходимости аутентификации. Сгенерированные URL-адреса формировались по предсказуемым шаблонам, таким как
org/{id-here}, и , что позволяло третьим лицам беспрепятственно просматривать сохраненные данные. Для проверки гипотезы об активной эксплуатации уязвимости специалисты watchTowr провели эксперимент с использованием приманки (honeypot), загрузив в один из инструментов поддельные ключи доступа AWS. Результат показал, что злоумышленники пытались использовать эти ключи в течение 48 часов после их сохранения. Это подтверждает вывод о том, что скраперы и киберпреступники активно мониторят подобные ресурсы в поисках ценной информации.
В ответ на инцидент и JSONFormatter, и CodeBeautify временно отключили функцию сохранения данных. Официально представители сервисов заявили, что «работают над улучшением» функционала и внедряют «усиленные меры по предотвращению контента NSFW (Not Safe For Work)». Однако в watchTowr полагают, что эти изменения, предположительно внесенные в сентябре, стали прямой реакцией на их исследование и уведомления, разосланные пострадавшим организациям.
Комментируя ситуацию, Джейк Нотт отметил чрезвычайную популярность этих инструментов, часто появляющихся в топе поисковой выдачи по запросам вроде «JSON beautify» и, возможно, «лучшее место для вставки секретов». Исследователь резюмировал проблему следующим образом: «В основном это происходит потому, что кто-то уже эксплуатирует это, и все это действительно, действительно глупо. Нам не нужно больше платформ агентных агентов на базе ИИ; нам нужно меньше критически важных организаций, вставляющих учетные данные на случайные веб-сайты».
