Korisnici platformi za formatiranje koda izlažu hiljade tajnih i drugih osjetljivih informacija, upozorava WatchTowr, kompanija specijalizovana za upravljanje napadnim površinama.
GitHub je prošle godine otkrio oko 39 miliona nenamjerno procurelih tajni na platformi, a ranija istraživanja pokazala su da podaci izloženi na Git-baziranim sistemima za upravljanje izvorom koda ostaju trajno kompromitovani.
Ali greške korisnika idu mnogo dalje od slučajnog ostavljanja akreditiva u javnim repozitorijima. Svaki online alat korišćen bez sanitizacije koda može dovesti do curenja. A hakeri ih vrebaju kao soko.
To je zaključak do kojeg je WatchTowr došao nakon analize oko 80.000 sačuvanih JSON fajlova sakupljenih sa platformi JSONFormatter i CodeBeautify, servisa koje korisnici koriste za „uljepšavanje“ svog koda.
U skupu podataka, kompanija je pronašla hiljade veoma osjetljivih tajni: akreditive, ključeve, tokene, konfiguracione fajlove, SSH snimke sesija, osjetljive API zahtjeve i odgovore, podatke koji mogu otkriti identitet (PII) i druge vrste osjetljivih informacija.
U jednom slučaju, neko je čak eksportovao sve akreditive iz svog AWS Secrets Managera direktno u alat za formatiranje koda.
Procurjele tajne pripadaju organizacijama iz više sektora, uključujući tehnologiju i sajber bezbjednost, kritičnu državnu infrastrukturu, vladu, finansije, zdravstvo, vazduhoplovstvo, osiguranje, bankarstvo, obrazovanje, telekomunikacije, putovanja i druge.
Problem nije u tome što ljudi koriste ove platforme da formatiraju ili uljepšaju kod u poslovnim ili privatnim projektima.
Suština problema je da neki od njih odluče da sačuvaju projekte kako bi dobili link koji mogu dijeliti, a te platforme dozvoljavaju posjetiocima da listaju skorašnje sačuvane sadržaje i povezane URL-ove.
WatchTowr je iskoristio stranice „Recent Links“ na JSONFormatter i CodeBeautify kako bi preuzeo više od pet gigabajta JSON podataka, što predstavlja godine istorijskog sadržaja.
Nakon analize podataka, kompanija je pokušala kontaktirati visokoprofilne organizacije pogođene curenjima i sarađivala sa CERT timovima kako bi dosegla još više entiteta.
Postavljanjem lažnih akreditiva u ove platforme, WatchTowr je otkrio i da drugi hakeri takođe stružu ove baze, te da se izložene tajne koriste u roku od samo nekoliko dana.
„Ne treba nam još AI-pogonjenih agentnih platformi; treba nam manje kritičnih organizacija koje lijepe akreditive na nasumične sajtove“, poručuje WatchTowr.
Izvor: SecurityWeek
