Plus de 80 000 fichiers de mots de passe et de clés sensibles divulgués en ligne

Source : CryptoNewsNet Titre original : Plus de 80 000 fichiers de mots de passe et de clés sensibles divulgués en ligne Lien original :

La société de cybersécurité watchTowr a découvert un trésor de mots de passe, clés d'accès et fichiers de configuration sensibles qui ont été exposés par inadvertance par des outils de formatage en ligne populaires, JSON formatter et CodeBeautify.

watchTowr Labs a déclaré avoir collecté un ensemble de données contenant plus de 80 000 fichiers provenant de sites utilisés pour formater et valider du code. Dans ces fichiers, les chercheurs ont trouvé des noms d'utilisateur, des mots de passe, des clés d'authentification de dépôt, des identifiants Active Directory, des chaînes de connexion de base de données, des identifiants FTP, des clés d'accès à l'environnement cloud, des détails de configuration LDAP, des clés d'API de helpdesk, et même des enregistrements de sessions SSH.

“Nous avons fouillé à travers les plateformes que les développeurs utilisent pour formater rapidement leur saisie - comme JSONFormatter et CodeBeautify. Et oui, vous avez raison - cela s'est passé exactement aussi mal que vous pourriez l'imaginer,” a déclaré le blog de watchTowr publié mardi.

Les utilitaires en ligne tels que JSONFormatter et CodeBeautify sont conçus pour embellir ou valider les formats de données, où les développeurs collent des extraits de code ou des fichiers de configuration pour résoudre des problèmes de formatage. Mais selon des chercheurs, de nombreux employés collent sans le savoir des fichiers entiers contenant des secrets actifs provenant des systèmes de production.

JSON et CodeBeautify fuient des données provenant du gouvernement, des banques et des soins de santé

Selon la société de sécurité, la faille de données divulguée n'a pas encore affecté trois plateformes, y compris les dépôts GitHub, les espaces de travail Postman et les conteneurs DockerHub. Cependant, elle a trouvé cinq ans de contenu historique de JSONFormatter et un an de contenu historique de CodeBeautify, totalisant plus de 5 gigaoctets de matériel JSON enrichi et annoté.

“La popularité est si grande que le seul développeur derrière ces outils est assez inspiré – avec une visite typique de n'importe quelle page d'outil déclenchant rapidement plus de 500 requêtes web pour générer ce que nous supposons être des revenus d'affiliation sucrés, sucrés,” a expliqué le groupe de cybersécurité.

watchTowr Labs a déclaré que des organisations de secteurs tels que les infrastructures nationales, les agences gouvernementales, les grandes institutions financières, les compagnies d'assurance, les fournisseurs de technologie, les entreprises de vente au détail, les organisations aérospatiales, les télécommunications, les hôpitaux, les universités, les entreprises de voyage et même les fournisseurs de cybersécurité ont toutes eu leurs informations privées exposées.

“Ces outils sont extrêmement populaires, apparaissant près du haut des résultats de recherche pour des termes comme 'embellir JSON' et 'meilleur endroit pour coller des secrets' ( probablement, non prouvé ), utilisés par des organisations et des administrateurs tant dans des environnements d'entreprise que pour des projets personnels,” a écrit le chercheur en sécurité Jake Knott dans le billet de blog.

watchTowr Labs a répertorié plusieurs catégories de données sensibles trouvées dans les fichiers exposés, telles que les identifiants Active Directory, les clés d'authentification des dépôts de code, les détails d'accès à la base de données, les informations de configuration LDAP, les clés d'environnement cloud, les identifiants de connexion FTP, les clés de pipeline CI/CD, les clés privées, et toutes les requêtes et réponses API avec des paramètres sensibles.

Les enquêteurs ont également mentionné des secrets Jenkins, des fichiers de configuration chiffrés appartenant à une entreprise de cybersécurité, des informations Know Your Customer provenant de banques et des identifiants AWS appartenant à un échange financier majeur qui étaient connectés aux systèmes Splunk.

watchTowr : Des acteurs malveillants exploitent les fuites

Selon l'analyse des dommages de watchTowr Labs, de nombreuses clés divulguées ont été collectées et testées par des parties inconnues. Dans une expérience, les chercheurs ont téléchargé de fausses clés d'accès AWS sur l'une des plateformes de formatage, et en un peu moins de deux jours, des acteurs malveillants ont tenté d'abuser des informations d'identification.

“Principalement parce que quelqu'un est déjà en train de l'exploiter, et tout cela est vraiment, vraiment stupide,” a continué Knott, “nous n'avons pas besoin de plus de plateformes d'agents agentiques alimentées par l'IA ; nous avons besoin de moins d'organisations critiques copiant des identifiants sur des sites web aléatoires.”

JSONFormatter et CodeBeautify ont temporairement désactivé leur fonctionnalité de sauvegarde en septembre, lorsque la faille de sécurité a été portée à leur attention. JSONFormatter a déclaré qu'il “travaillait pour l'améliorer,” tandis que CodeBeautify a indiqué qu'il mettait en œuvre de nouvelles “mesures de prévention des contenus NSFW améliorées (Not Safe For Work).”

Problème de sécurité dans le fournisseur Terraform de HashiCorp Vault

Au-delà des identifiants divulgués, HashiCorp a découvert une vulnérabilité qui pourrait permettre aux attaquants de contourner l'authentification dans son Vault Terraform Provider. L'entreprise fournit aux développeurs, aux entreprises et aux organisations de sécurité des services d'infrastructure et de protection en cloud.

Selon les conclusions de la société de logiciels partagées mardi, le défaut de Vault Terraform affecte les versions v4.2.0 à v5.4.0 en raison d'une configuration par défaut non sécurisée dans la méthode d'authentification LDAP.

Le problème survient parce que le paramètre “deny_null_bind” est défini sur false au lieu de true lorsque le fournisseur configure le backend d'authentification LDAP de Vault. Le paramètre détermine si le Vault rejette un mot de passe incorrect ou des liaisons non authentifiées.

Si le serveur LDAP connecté autorise les liaisons anonymes, les attaquants peuvent s'authentifier et accéder aux comptes sans aucune identification valide.