Una nueva investigación ha descubierto que organizaciones de diversos sectores sensibles, incluidos el gobierno, las telecomunicaciones y la infraestructura crítica, están insertando contraseñas y credenciales en herramientas en línea como JSONformatter y CodeBeautify que se utilizan para formatear y validar código.
La empresa de ciberseguridad watchTowr Labs dijo que recopiló un conjunto de datos de más de 80.000 archivos en estos sitios web, revelando miles de nombres de usuario, contraseñas, claves de autenticación de repositorio, credenciales de Active Directory, credenciales de bases de datos, credenciales de FTP, claves de entorno de nube, información de configuración de LDAP, claves API de la mesa de ayuda, claves API de salas de reuniones, grabaciones de sesiones SSH y todo tipo de información personal revelada.
Esto incluye cinco años de contenido histórico de JSONFormatter y un año de contenido histórico de CodeBeautify, para un total de más de 5 GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por la filtración incluyen sectores críticos de infraestructura nacional, gobierno, finanzas, seguros, banca, tecnología, comercio minorista, aeroespacial, telecomunicaciones, atención médica, educación, viajes e, irónicamente, ciberseguridad.
“Estas herramientas son extremadamente populares, a menudo aparecen en la parte superior de los resultados de búsqueda para términos como 'embellecer JSON' y 'mejor lugar para insertar secretos' (probablemente no probados) – y son utilizadas por una amplia gama de organizaciones, organismos, desarrolladores y administradores tanto en entornos corporativos como para proyectos personales”, dijo el investigador de seguridad Jake Knott en un informe compartido con The Hacker News.
Ambas herramientas también brindan la capacidad de guardar una estructura o código JSON formateado, convirtiéndolo en un enlace semipermanente que se puede compartir con otros, de modo que cualquiera con acceso a la URL pueda acceder a los datos.
De hecho, los sitios no solo ofrecen una práctica página de Enlaces recientes que enumera todos los enlaces guardados recientemente, sino que también siguen un formato de URL predecible para el enlace que se puede compartir, lo que facilita que un atacante recupere todas las URL con un simple rastreador.
- https://jsonformatter.org/{id-aquí}
- https://jsonformatter.org/{formatter-type}/{id-aquí}
- https://codebeautify.org/{formatter-type}/{id-aquí}
Ejemplos de información filtrada incluyen secretos de Jenkins, una empresa de ciberseguridad que expone credenciales cifradas para archivos de configuración confidenciales, información de Conozca a su cliente (KYC) de un banco, credenciales de AWS vinculadas a Splunk de un importante intercambio financiero y credenciales de Active Directory de un banco.
Para empeorar las cosas, la compañía dijo que cargó claves de acceso de AWS falsas a una de estas herramientas y, 48 horas después de almacenarlas, descubrió que los delincuentes intentaban hacer un uso indebido de ellas. Esto indica que otras partes están extrayendo y probando información valiosa divulgada a través de estas fuentes, lo que plantea riesgos importantes.
“Especialmente porque alguien ya se está aprovechando de ello, y todo es realmente estúpido”, dijo Knott. “No necesitamos más plataformas de agentes impulsadas por IA; necesitamos menos organizaciones críticas que inserten credenciales en sitios web aleatorios”.
Cuando The Hacker News lo revisó, tanto JSONFormatter como CodeBeautify desactivaron temporalmente la función de guardar y afirmaron que están “trabajando en una mejora” e implementando “medidas mejoradas para prevenir el contenido NSFW (No seguro para el trabajo)”.
watchTowr dijo que la función de guardar probablemente fue desactivada por estos sitios en respuesta a la investigación. “Sospechamos que este cambio se produjo en septiembre en respuesta a la notificación de varias organizaciones afectadas que alertamos”, continuó.
About The Author
