Более 80 000 конфиденциальных файлов паролей и ключей утекли в интернет

Источник: CryptoNewsNet Оригинальное название: Более 80 000 конфиденциальных паролей и файлов ключей утекли в сеть Оригинальная ссылка:

Компания по кибербезопасности watchTowr обнаружила множество утекших паролей, ключей доступа и конфиденциальных файлов конфигурации, которые были случайно раскрыты из популярных онлайн-инструментов форматирования, таких как JSON formatter и CodeBeautify.

watchTowr Labs сообщила, что собрала набор данных, содержащий более 80 000 файлов с сайтов, используемых для форматирования и проверки кода. В этих файлах исследователи обнаружили имена пользователей, пароли, ключи аутентификации репозиториев, учетные данные Active Directory, строки подключения к базам данных, учетные данные FTP, ключи доступа к облачной среде, детали конфигурации LDAP, ключи API службы поддержки и даже записи сессий SSH.

“Мы перебирали платформы, которые разработчики используют для быстрого форматирования своего ввода — такие как JSONFormatter и CodeBeautify. И да, вы правы — все прошло именно так плохо, как вы могли ожидать,” говорится в блоге watchTowr, опубликованном во вторник.

Онлайн-утилиты, такие как JSONFormatter и CodeBeautify, предназначены для улучшения или проверки форматов данных, где разработчики вставляют фрагменты кода или конфигурационные файлы для устранения проблем с форматированием. Но, по словам исследователей, многие сотрудники незнаючи вставляют целые файлы, содержащие живые секреты из производственных систем.

JSON и CodeBeautify утечка данных из правительства, банков и здравоохранения

Согласно данным безопасности, утечка данных пока не затронула три платформы, включая репозитории GitHub, рабочие пространства Postman и контейнеры DockerHub. Однако было найдено пять лет исторического контента из JSONFormatter и один год исторического контента из CodeBeautify, что в сумме составляет более 5 гигабайт обогащенного и аннотированного JSON-материала.

“Популярность настолько велика, что единственный разработчик этих инструментов довольно вдохновлен - типичный визит на любую домашнюю страницу инструмента быстро вызывает более 500 веб-запросов, что, как мы предполагаем, приносит некоторое сладкое, сладкое доход от партнерского маркетинга,” объяснила группа кибербезопасности.

watchTowr Labs сообщила, что организации из таких отраслей, как национальная инфраструктура, государственные органы, крупные финансовые учреждения, страховые компании, поставщики технологий, розничные фирмы, аэрокосмические организации, телекоммуникационные компании, больницы, университеты, туристические компании и даже поставщики кибербезопасности, подверглись утечке своей частной информации.

“Эти инструменты чрезвычайно популярны, появляются в верхней части результатов поиска по таким запросам, как 'JSON beautify' и 'лучшее место для вставки секретов' (, вероятно, непроверенные ), используемые организациями и администраторами как в корпоративных средах, так и для личных проектов,” написал в блоге исследователь безопасности Джейк Кнотт.

watchTowr Labs перечислила несколько категорий конфиденциальных данных, найденных в раскрытых файлах, таких как учетные данные Active Directory, ключи аутентификации репозитория кода, детали доступа к базе данных, информация о конфигурации LDAP, ключи облачной среды, учетные данные FTP для входа, ключи CI/CD пайплайна, закрытые ключи и полные запросы и ответы API с конфиденциальными параметрами.

Следователи также упомянули секреты Дженкинса, зашифрованные конфигурационные файлы, принадлежащие фирме кибербезопасности, информацию «Знай своего клиента» от банков, а также учетные данные AWS, принадлежащие крупной финансовой бирже, которые были связаны с системами Splunk.

watchTowr: Злонамеренные лица собирают утечки

Согласно анализу ущерба от watchTowr Labs, многие из утеченных ключей были собраны и протестированы неизвестными лицами. В эксперименте исследователи загрузили поддельные ключи доступа AWS на одну из платформ форматирования, и всего за два дня злоумышленники попытались злоупотребить этими учетными данными.

“В основном потому, что кто-то уже использует это в своих интересах, и это все действительно, действительно глупо,” продолжил Кнотт, “нам не нужно больше платформ с агентами на базе ИИ; нам нужно меньше критических организаций, вставляющих учетные данные на случайные веб-сайты.”

JSONFormatter и CodeBeautify временно отключили свою функциональность сохранения в сентябре, когда проблема безопасности стала им известна. JSONFormatter заявила, что “работает над тем, чтобы улучшить это”, в то время как CodeBeautify сообщила, что внедряет новые “усовершенствованные меры предотвращения контента NSFW (Not Safe For Work).”

Проблема безопасности в Terraform Provider от HashiCorp Vault

Помимо утечек учетных данных, HashiCorp обнаружила уязвимость, которая может позволить злоумышленникам обойти аутентификацию в своем Vault Terraform Provider. Компания предоставляет разработчикам, бизнесу и организациям безопасности инфраструктуру облачных вычислений и услуги защиты.

Согласно выводам программной компании, опубликованным во вторник, уязвимость Vault Terraform затрагивает версии v4.2.0 до v5.4.0 из-за небезопасной конфигурации по умолчанию в методе аутентификации LDAP.

Проблема возникает из-за того, что параметр “deny_null_bind” установлен в значение false вместо true, когда провайдер настраивает LDAP-аутентификацию Vault. Этот параметр определяет, отклоняет ли Vault неверный пароль или неаутентифицированные связи.

Если подключенный LDAP-сервер позволяет анонимные привязки, злоумышленники могут аутентифицироваться и получать доступ к учетным записям без каких-либо действительных учетных данных.