أكثر من 80,000 ملف كلمة مرور ومفتاح حساسة تم تسريبها على الإنترنت

المصدر: CryptoNewsNet العنوان الأصلي: تسرب أكثر من 80,000 ملف كلمة مرور ومفتاح حساس على الإنترنت رابط أصلي:

اكتشفت شركة الأمن السيبراني watchTowr مجموعة من كلمات المرور المسربة، ومفاتيح الوصول، وملفات التكوين الحساسة التي تم الكشف عنها دون قصد من أدوات التنسيق عبر الإنترنت الشهيرة، JSON formatter، وCodeBeautify.

قالت watchTowr Labs إنها جمعت مجموعة بيانات تحتوي على أكثر من 80,000 ملف من المواقع المستخدمة لتنسيق والتحقق من صحة الشفرات. داخل هذه الملفات، وجد الباحثون أسماء المستخدمين وكلمات المرور ومفاتيح مصادقة المستودعات وبيانات اعتماد Active Directory وسلاسل الاتصال بقاعدة البيانات وبيانات اعتماد FTP ومفاتيح وصول بيئات السحابة وتفاصيل تكوين LDAP ومفاتيح واجهة برمجة التطبيقات الخاصة بالدعم الفني، وحتى تسجيلات جلسات SSH.

“لقد كنا نبحث في المنصات التي يستخدمها المطورون لتنسيق مدخلاتهم بسرعة – مثل JSONFormatter و CodeBeautify. ونعم، أنت على حق – لقد سارت الأمور بالضبط كما كنت تتوقع،” كما ورد في منشور مدونة watchTowr الذي نُشر يوم الثلاثاء.

تُستخدم الأدوات عبر الإنترنت مثل JSONFormatter وCodeBeautify لتجميل أو التحقق من تنسيقات البيانات، حيث يقوم المطورون بلصق مقتطفات من التعليمات البرمجية أو ملفات التكوين فيها لحل مشاكل التنسيق. ولكن وفقًا للباحثين، يقوم العديد من الموظفين دون علم بلصق ملفات كاملة تحتوي على أسرار حية من أنظمة الإنتاج.

JSON و CodeBeautify تسرب بيانات من الحكومة، البنوك، والرعاية الصحية

وفقًا لشركة الأمن، لم تؤثر ثغرة البيانات المسربة بعد على ثلاث منصات، بما في ذلك مستودعات GitHub، ومساحات عمل Postman، وحاويات DockerHub. ومع ذلك، وجدت خمس سنوات من المحتوى التاريخي من JSONFormatter وسنة واحدة من المحتوى التاريخي من CodeBeautify، ليصل المجموع إلى أكثر من 5 جيجابايت من المواد JSON المحسنة والمعلقة.

“شعبية هذه الأدوات كبيرة لدرجة أن المطور الوحيد وراءها مستوحى إلى حد كبير - حيث يؤدي الزيارة النموذجية لأي صفحة أداة إلى حدوث أكثر من 500 طلب ويب بسرعة لتوليد ما نفترض أنه إيرادات تسويق تابعة رائعة،” أوضحت مجموعة الأمن السيبراني.

قالت watchTowr Labs إن منظمات من صناعات مثل البنية التحتية الوطنية، والوكالات الحكومية، والمؤسسات المالية الكبرى، وشركات التأمين، ومقدمي التكنولوجيا، والشركات التجارية، ومنظمات الفضاء، وشركات الاتصالات، والمستشفيات، والجامعات، وأعمال السفر، وحتى بائعي الأمن السيبراني قد تم الكشف عن معلوماتها الخاصة.

“تعتبر هذه الأدوات شعبية للغاية، حيث تظهر بالقرب من قمة نتائج البحث عن مصطلحات مثل 'تجميل JSON' و 'أفضل مكان لصق الأسرار' (ربما، غير مثبت)، تستخدم من قبل المؤسسات والمسؤولين في كل من البيئات المؤسسية والمشاريع الشخصية،” كتب الباحث الأمني ​​جيك نوت في المنشور.

قامت watchTowr Labs بإدراج عدة فئات من البيانات الحساسة الموجودة داخل الملفات المكشوفة مثل بيانات اعتماد Active Directory، مفاتيح مصادقة مستودع الشيفرة، تفاصيل وصول قاعدة البيانات، معلومات تكوين LDAP، مفاتيح بيئة السحابة، بيانات اعتماد تسجيل دخول FTP، مفاتيح خط أنابيب CI/CD، المفاتيح الخاصة، وطلبات واستجابات API الكاملة مع المعلمات الحساسة.

ذكر المحققون أيضًا أسرار جينكينز، وملفات التكوين المشفرة التابعة لشركة الأمن السيبراني، ومعلومات اعرف عميلك من البنوك، ومعلومات اعتماد AWS التابعة لبورصة مالية كبيرة التي كانت مرتبطة بأنظمة Splunk.

watchTowr: الجهات الخبيثة تقوم بجمع التسريبات

وفقًا لتحليل الأضرار من watchTowr Labs، تم جمع العديد من المفاتيح المسربة واختبارها من قبل أطراف مجهولة. في تجربة، قام الباحثون بتحميل مفاتيح وصول AWS مزيفة إلى إحدى منصات التنسيق، وفي أقل من يومين، حاول الفاعلون الخبيثون استغلال بيانات الاعتماد.

“في الغالب لأن شخصاً ما يستغل ذلك بالفعل، وهذا كله حقاً، حقاً غبي،” تابع نوت، “نحن لا نحتاج إلى المزيد من منصات الوكلاء المدفوعة بالذكاء الاصطناعي؛ نحن بحاجة إلى عدد أقل من المنظمات الحرجة التي تلصق بيانات الاعتماد في مواقع الويب العشوائية.”

تم تعطيل وظيفة الحفظ مؤقتًا في JSONFormatter وCodeBeautify في سبتمبر، عندما تم إبلاغهم بوجود ثغرة أمنية. قالت JSONFormatter إنها كانت “تعمل على تحسينها”، بينما قالت CodeBeautify إنها كانت تنفذ “تدابير جديدة محسّنة لمنع المحتوى (Not Safe For Work).”

مشكلة أمنية في مزود Terraform الخاص بـ HashiCorp's Vault

بعيدًا عن بيانات الاعتماد المسربة، وجدت HashiCorp ثغرة قد تسمح للمهاجمين بتجاوز المصادقة في مزود Terraform الخاص بها. تقدم الشركة للمطورين والشركات والمؤسسات الأمنية بنية تحتية وخدمات حماية في الحوسبة السحابية.

وفقًا لنتائج شركة البرمجيات التي تم مشاركتها يوم الثلاثاء، فإن ثغرة Vault Terraform تؤثر على الإصدارات من v4.2.0 إلى v5.4.0 بسبب تكوين افتراضي غير آمن في طريقة مصادقة LDAP.

تحدث المشكلة لأن معلمة “deny_null_bind” تم تعيينها إلى false بدلاً من true عندما يقوم المزود بتكوين واجهة مصادقة LDAP الخاصة بـ Vault. تحدد المعلمة ما إذا كان Vault سيرفض كلمة مرور خاطئة أو روابط غير مصدقة.

إذا كان خادم LDAP المتصل يسمح بالربط المجهول، يمكن للمهاجمين المصادقة والوصول إلى الحسابات دون أي بيانات اعتماد صحيحة.