Hơn 80.000 tệp tin mật khẩu và khóa nhạy cảm bị rò rỉ trực tuyến

Nguồn: CryptoNewsNet Tiêu đề gốc: Hơn 80.000 tệp mật khẩu và khóa nhạy cảm bị rò rỉ trực tuyến Liên kết gốc:

Công ty an ninh mạng watchTowr đã phát hiện ra một kho dữ liệu mật khẩu bị rò rỉ, khóa truy cập và các tệp cấu hình nhạy cảm đã bị phơi bày không cố ý từ các công cụ định dạng trực tuyến phổ biến, JSON formatter và CodeBeautify.

watchTowr Labs cho biết họ đã thu thập một tập dữ liệu chứa hơn 80,000 tệp từ các trang web được sử dụng để định dạng và xác thực mã. Trong số các tệp đó, các nhà nghiên cứu đã tìm thấy tên người dùng, mật khẩu, khóa xác thực kho lưu trữ, thông tin đăng nhập Active Directory, chuỗi kết nối cơ sở dữ liệu, thông tin đăng nhập FTP, khóa truy cập môi trường đám mây, chi tiết cấu hình LDAP, khóa API helpdesk, và thậm chí cả bản ghi của các phiên SSH.

“Chúng tôi đã lục tìm các nền tảng mà các nhà phát triển sử dụng để nhanh chóng định dạng đầu vào của họ – như JSONFormatter và CodeBeautify. Và vâng, bạn đúng – nó diễn ra tồi tệ như bạn có thể tưởng tượng,” bài viết trên blog của watchTowr được xuất bản vào thứ Ba.

Các công cụ trực tuyến như JSONFormatter và CodeBeautify nhằm mục đích làm đẹp hoặc xác thực các định dạng dữ liệu, nơi các lập trình viên dán các đoạn mã hoặc tệp cấu hình vào đó để khắc phục các vấn đề định dạng. Nhưng theo các nhà nghiên cứu, nhiều nhân viên không nhận thức được việc họ đang dán toàn bộ các tệp chứa bí mật hoạt động từ các hệ thống sản xuất.

JSON và CodeBeautify rò rỉ dữ liệu từ chính phủ, ngân hàng và chăm sóc sức khỏe

Theo công ty bảo mật, lỗ hổng dữ liệu bị rò rỉ vẫn chưa ảnh hưởng đến ba nền tảng, bao gồm kho GitHub, không gian làm việc Postman và container DockerHub. Tuy nhiên, họ đã phát hiện ra năm năm nội dung lịch sử từ JSONFormatter và một năm nội dung lịch sử từ CodeBeautify, tổng cộng hơn 5 gigabyte tài liệu JSON phong phú và được chú thích.

“Sự phổ biến lớn đến mức nhà phát triển duy nhất đứng sau những công cụ này khá được truyền cảm hứng – với một lần truy cập điển hình vào bất kỳ trang công cụ nào sẽ kích hoạt nhanh chóng hơn 500 yêu cầu web để tạo ra những gì chúng tôi cho rằng là một số doanh thu tiếp thị liên kết ngọt ngào, ngọt ngào,” nhóm an ninh mạng giải thích.

watchTowr Labs cho biết các tổ chức từ các ngành như hạ tầng quốc gia, cơ quan chính phủ, các tổ chức tài chính lớn, công ty bảo hiểm, nhà cung cấp công nghệ, các công ty bán lẻ, tổ chức hàng không, viễn thông, bệnh viện, các trường đại học, doanh nghiệp du lịch, và ngay cả các nhà cung cấp an ninh mạng đều đã bị lộ thông tin riêng tư.

“Những công cụ này cực kỳ phổ biến, xuất hiện gần đầu kết quả tìm kiếm cho các thuật ngữ như 'JSON beautify' và 'nơi tốt nhất để dán bí mật' ( có thể, chưa được chứng minh ), được sử dụng bởi các tổ chức và quản trị viên trong cả môi trường doanh nghiệp và cho các dự án cá nhân,” nhà nghiên cứu bảo mật Jake Knott đã viết trong bài blog.

watchTowr Labs đã liệt kê một số loại dữ liệu nhạy cảm được tìm thấy trong các tệp bị lộ như thông tin xác thực Active Directory, khóa xác thực kho mã nguồn, chi tiết truy cập cơ sở dữ liệu, thông tin cấu hình LDAP, khóa môi trường đám mây, thông tin đăng nhập FTP, khóa CI/CD pipeline, khóa riêng tư, và các yêu cầu và phản hồi API đầy đủ với các tham số nhạy cảm.

Các nhà điều tra cũng đề cập đến bí mật của Jenkins, các tệp cấu hình được mã hóa thuộc về một công ty an ninh mạng, thông tin Biết Khách Hàng từ các ngân hàng, và thông tin xác thực AWS thuộc về một sàn giao dịch tài chính lớn có liên quan đến các hệ thống Splunk.

watchTowr: Các tác nhân độc hại đang thu thập thông tin rò rỉ

Theo phân tích thiệt hại của watchTowr Labs, nhiều khóa bị rò rỉ đã được thu thập và kiểm tra bởi các bên không xác định. Trong một thí nghiệm, các nhà nghiên cứu đã tải lên các khóa truy cập AWS giả đến một trong những nền tảng định dạng, và chỉ trong chưa đầy hai ngày, các tác nhân độc hại đã cố gắng lạm dụng các thông tin đăng nhập.

“Chủ yếu vì có người đã khai thác nó, và tất cả điều này thực sự rất, rất ngu ngốc,” Knott tiếp tục, “chúng ta không cần nhiều nền tảng đại lý tự động hóa do AI điều khiển; chúng ta cần ít tổ chức quan trọng hơn đang dán thông tin đăng nhập vào các trang web ngẫu nhiên.”

JSONFormatter và CodeBeautify đã tạm thời vô hiệu hóa chức năng lưu trữ của họ vào tháng 9, khi lỗ hổng bảo mật được đưa ra ánh sáng. JSONFormatter cho biết họ “đang làm việc để cải thiện nó,” trong khi CodeBeautify cho biết họ đang thực hiện các “biện pháp ngăn chặn nội dung NSFW (Không An Toàn Cho Công Việc)” mới được cải tiến.

Vấn đề bảo mật trong Nhà cung cấp Terraform của HashiCorp Vault

Ngoài các thông tin xác thực bị rò rỉ, HashiCorp đã phát hiện ra một lỗ hổng có thể cho phép kẻ tấn công vượt qua xác thực trong Vault Terraform Provider của mình. Công ty cung cấp cho các nhà phát triển, doanh nghiệp và tổ chức an ninh các dịch vụ hạ tầng điện toán đám mây và bảo vệ.

Theo các phát hiện của công ty phần mềm được chia sẻ vào thứ Ba, lỗi Vault Terraform ảnh hưởng đến các phiên bản v4.2.0 đến v5.4.0 do cấu hình mặc định không an toàn trong phương pháp xác thực LDAP.

Vấn đề phát sinh vì tham số “deny_null_bind” được đặt thành false thay vì true khi nhà cung cấp cấu hình backend xác thực LDAP của Vault. Tham số này xác định liệu Vault có từ chối một mật khẩu sai hoặc các kết nối không được xác thực hay không.

Nếu máy chủ LDAP được kết nối cho phép kết nối ẩn danh, kẻ tấn công có thể xác thực và truy cập tài khoản mà không cần bất kỳ thông tin xác thực hợp lệ nào.