Mais de 80.000 arquivos de senha e chave sensíveis vazaram online

Fonte: CryptoNewsNet Título Original: Mais de 80.000 arquivos de senhas e chaves sensíveis vazaram online Link Original:

A empresa de cibersegurança watchTowr descobriu um tesouro de senhas vazadas, chaves de acesso e arquivos de configuração sensíveis que foram expostos involuntariamente a partir de ferramentas de formatação online populares, JSON formatter e CodeBeautify.

A watchTowr Labs disse que coletou um conjunto de dados contendo mais de 80.000 arquivos de sites usados para formatar e validar código. Dentro desses arquivos, os pesquisadores encontraram nomes de usuário, senhas, chaves de autenticação de repositório, credenciais do Active Directory, strings de conexão de banco de dados, credenciais de FTP, chaves de acesso a ambientes de nuvem, detalhes de configuração do LDAP, chaves de API do helpdesk e até gravações de sessões SSH.

“Temos vasculhado plataformas que os desenvolvedores usam para formatar rapidamente a sua entrada – como JSONFormatter e CodeBeautify. E sim, você está correto – correu exatamente tão mal quanto você poderia esperar,” post do blog da watchTowr publicado na terça-feira.

Utilitários online como JSONFormatter e CodeBeautify são destinados a embelezar ou validar formatos de dados, onde os desenvolvedores colam trechos de código ou arquivos de configuração neles para solucionar problemas de formatação. Mas, de acordo com pesquisadores, muitos empregados estão, sem saber, colando arquivos inteiros que contêm segredos ativos de sistemas de produção.

JSON e CodeBeautify vazam dados do governo, bancos e saúde

De acordo com a empresa de segurança, a falha de dados vazados ainda não afetou três plataformas, incluindo repositórios do GitHub, espaços de trabalho do Postman e contêineres do DockerHub. No entanto, encontrou cinco anos de conteúdo histórico do JSONFormatter e um ano de conteúdo histórico do CodeBeautify, totalizando mais de 5 gigabytes de material JSON enriquecido e anotado.

“A popularidade é tão grande que o único desenvolvedor por trás dessas ferramentas está bastante inspirado – com uma visita típica a qualquer página de ferramenta a gerar rapidamente mais de 500 solicitações web para gerar o que presumimos ser alguma doce, doce receita de marketing de afiliados,” explicou o grupo de cibersegurança.

A watchTowr Labs disse que organizações de setores como infraestrutura nacional, agências governamentais, grandes instituições financeiras, companhias de seguros, provedores de tecnologia, empresas de retalho, organizações aeroespaciais, telecomunicações, hospitais, universidades, empresas de viagens e até fornecedores de cibersegurança tiveram todas as suas informações privadas expostas.

“Estas ferramentas são extremamente populares, aparecendo perto do topo dos resultados de pesquisa para termos como 'embelezar JSON' e 'melhor lugar para colar segredos' (provavelmente, não comprovado), usadas por organizações e administradores tanto em ambientes empresariais como para projetos pessoais,” escreveu o pesquisador de segurança Jake Knott no post do blog.

A watchTowr Labs listou várias categorias de dados sensíveis encontrados nos arquivos expostos, como credenciais do Active Directory, chaves de autenticação do repositório de código, detalhes de acesso ao banco de dados, informações de configuração do LDAP, chaves de ambiente em nuvem, credenciais de login FTP, chaves de pipeline CI/CD, chaves privadas e solicitações e respostas completas de API com parâmetros sensíveis.

Os investigadores também mencionaram segredos de Jenkins, arquivos de configuração encriptados pertencentes a uma empresa de cibersegurança, informações de Conheça o Seu Cliente de bancos e credenciais da AWS pertencentes a uma grande bolsa financeira que estavam conectadas a sistemas Splunk.

watchTowr: Ator mal-intencionado está a extrair as fugas

De acordo com a análise de danos da watchTowr Labs, muitas das chaves vazadas foram coletadas e testadas por partes desconhecidas. Em um experimento, os pesquisadores enviaram chaves de acesso AWS falsas para uma das plataformas de formatação, e em menos de dois dias, atores mal-intencionados tentaram abusar das credenciais.

“Principalmente porque alguém já está explorando isso, e tudo isso é realmente, realmente estúpido,” continuou Knott, “não precisamos de mais plataformas de agentes autônomos impulsionadas por IA; precisamos de menos organizações críticas colando credenciais em sites aleatórios.”

JSONFormatter e CodeBeautify desativaram temporariamente a funcionalidade de salvamento em setembro, quando a falha de segurança foi trazida à sua atenção. JSONFormatter disse que estava “trabalhando para melhorar”, enquanto CodeBeautify afirmou que estava implementando novas “medidas de prevenção de conteúdo NSFW (Not Safe For Work) aprimoradas.”

Problema de segurança no Provider Terraform do Vault da HashiCorp

Além das credenciais vazadas, a HashiCorp encontrou uma vulnerabilidade que poderia permitir que atacantes contornassem a autenticação no seu Vault Terraform Provider. A empresa fornece infraestrutura de computação em nuvem e serviços de proteção para desenvolvedores, empresas e organizações de segurança.

De acordo com as conclusões da empresa de software partilhadas na terça-feira, a falha do Vault Terraform afeta as versões v4.2.0 a v5.4.0 devido a uma configuração padrão insegura no método de autenticação LDAP.

O problema surge porque o parâmetro “deny_null_bind” está definido como falso em vez de verdadeiro quando o provedor configura o backend de autenticação LDAP do Vault. O parâmetro determina se o Vault rejeita uma senha incorrecta ou ligações não autenticadas.

Se o servidor LDAP conectado permitir ligações anónimas, os atacantes podem autenticar-se e aceder a contas sem quaisquer credenciais válidas.