Lebih dari 80.000 file password dan kunci sensitif bocor secara online

Sumber: CryptoNewsNet Judul Asli: Lebih dari 80.000 file kata sandi dan kunci sensitif bocor secara online Tautan Asli:

Perusahaan keamanan siber watchTowr telah menemukan sejumlah besar kata sandi yang bocor, kunci akses, dan file konfigurasi sensitif yang secara tidak sengaja terpapar dari alat format online populer, JSON formatter, dan CodeBeautify.

watchTowr Labs mengatakan telah mengumpulkan dataset yang berisi lebih dari 80.000 file dari situs yang digunakan untuk memformat dan memvalidasi kode. Di dalam file-file tersebut, para peneliti menemukan nama pengguna, kata sandi, kunci otentikasi repositori, kredensial Active Directory, string koneksi basis data, kredensial FTP, kunci akses lingkungan cloud, detail konfigurasi LDAP, kunci API helpdesk, dan bahkan rekaman sesi SSH.

“Kami telah mencari platform yang digunakan pengembang untuk dengan cepat memformat input mereka – seperti JSONFormatter dan CodeBeautify. Dan ya, Anda benar – itu berjalan persis seburuk yang Anda duga,” tulis posting blog watchTowr yang diterbitkan pada hari Selasa.

Utilitas daring seperti JSONFormatter dan CodeBeautify dimaksudkan untuk memperindah atau memvalidasi format data, di mana para pengembang menempelkan cuplikan kode atau file konfigurasi ke dalamnya untuk memecahkan masalah format. Namun, menurut para peneliti, banyak karyawan yang tanpa sadar menempelkan seluruh file yang mengandung rahasia aktif dari sistem produksi.

JSON dan CodeBeautify membocorkan data dari pemerintah, bank, dan layanan kesehatan

Menurut firma keamanan, celah data yang bocor belum mempengaruhi tiga platform, termasuk repositori GitHub, ruang kerja Postman, dan kontainer DockerHub. Namun, mereka menemukan lima tahun konten historis dari JSONFormatter dan satu tahun konten historis dari CodeBeautify, dengan total lebih dari 5 gigabyte materi JSON yang diperkaya dan dianotasi.

“Popularitasnya sangat besar sehingga pengembang tunggal di balik alat ini cukup terinspirasi – dengan kunjungan tipikal ke halaman alat mana pun memicu lebih dari 500 permintaan web dengan cepat untuk menghasilkan apa yang kami asumsikan adalah pendapatan pemasaran afiliasi yang manis,” jelas kelompok keamanan siber itu.

watchTowr Labs mengatakan bahwa organisasi dari industri seperti infrastruktur nasional, lembaga pemerintah, institusi keuangan besar, perusahaan asuransi, penyedia teknologi, perusahaan ritel, organisasi dirgantara, telekomunikasi, rumah sakit, universitas, bisnis perjalanan, dan bahkan vendor keamanan siber semuanya telah mengalami kebocoran informasi pribadi mereka.

“Alat-alat ini sangat populer, muncul di dekat bagian atas hasil pencarian untuk istilah seperti 'JSON beautify' dan 'tempat terbaik untuk menempelkan rahasia' ( mungkin, belum terbukti ), digunakan oleh organisasi dan administrator baik dalam lingkungan perusahaan maupun untuk proyek pribadi,” peneliti keamanan Jake Knott menulis di postingan blog.

watchTowr Labs mencantumkan beberapa kategori data sensitif yang ditemukan dalam file yang terungkap seperti kredensial Active Directory, kunci autentikasi repositori kode, detail akses database, informasi konfigurasi LDAP, kunci lingkungan cloud, kredensial login FTP, kunci CI/CD pipeline, kunci pribadi, dan permintaan serta respons API lengkap dengan parameter sensitif.

Para penyelidik juga menyebutkan rahasia Jenkins, file konfigurasi terenkripsi milik sebuah perusahaan keamanan siber, informasi Know Your Customer dari bank, dan kredensial AWS yang dimiliki oleh sebuah bursa keuangan besar yang terhubung ke sistem Splunk.

watchTowr: Aktor jahat sedang mengumpulkan kebocoran

Menurut analisis kerusakan dari watchTowr Labs, banyak kunci yang bocor telah dikumpulkan dan diuji oleh pihak yang tidak dikenal. Dalam sebuah eksperimen, peneliti mengunggah kunci akses AWS palsu ke salah satu platform pemformatan, dan dalam waktu kurang dari dua hari, aktor jahat mencoba menyalahgunakan kredensial tersebut.

“Terutama karena seseorang sudah mengeksploitasinya, dan semua ini sangat, sangat bodoh,” lanjut Knott, “kami tidak membutuhkan lebih banyak platform agen agensi yang didorong oleh AI; kami membutuhkan lebih sedikit organisasi kritis yang menempelkan kredensial ke situs web acak.”

JSONFormatter dan CodeBeautify sementara menonaktifkan fungsi simpan mereka pada bulan September, ketika celah keamanan dibawa ke perhatian mereka. JSONFormatter mengatakan bahwa mereka “sedang bekerja untuk memperbaikinya,” sementara CodeBeautify mengatakan bahwa mereka sedang menerapkan “ukuran pencegahan konten NSFW yang ditingkatkan (Tidak Aman untuk Pekerja).”

Masalah keamanan di HashiCorp Vault Terraform Provider

Terlepas dari kredensial yang bocor, HashiCorp menemukan kerentanan yang dapat memungkinkan penyerang untuk melewati otentikasi di Vault Terraform Provider-nya. Perusahaan ini menyediakan infrastruktur komputasi awan dan layanan perlindungan untuk pengembang, bisnis, dan organisasi keamanan.

Menurut temuan perusahaan perangkat lunak yang dibagikan pada hari Selasa, celah Vault Terraform memengaruhi versi v4.2.0 hingga v5.4.0 akibat konfigurasi default yang tidak aman dalam metode autentikasi LDAP.

Masalah muncul karena parameter “deny_null_bind” diatur ke false alih-alih true ketika penyedia mengonfigurasi backend otentikasi LDAP Vault. Parameter ini menentukan apakah Vault menolak kata sandi yang salah atau ikatan yang tidak terautentikasi.

Jika server LDAP yang terhubung memungkinkan ikatan anonim, penyerang dapat mengautentikasi dan mengakses akun tanpa kredensial yang valid.