超過80,000個敏感密碼和密鑰文件泄露在線

！image

資料來源：CryptoNewsNet 原標題：超過80,000個敏感密碼和密鑰文件泄露在線 原始連結：

網路安全公司 watchTowr 發現了一批泄露的密碼、訪問密鑰和敏感配置文件，這些文件意外地從流行的在線格式化工具、JSON 格式化器和 CodeBeautify 中暴露出來。

watchTowr Labs表示，它收集了一個包含超過80,000個文件的數據集，這些文件來自用於格式化和驗證代碼的網站。在這些文件中，研究人員發現了用戶名、密碼、存儲庫身分驗證密鑰、Active Directory憑據、數據庫連接字符串、FTP憑據、雲環境訪問密鑰、LDAP配置詳情、幫助臺API密鑰，甚至還有SSH會話的錄音。

“我們一直在翻閱開發者用來快速格式化輸入的平台——比如JSONFormatter和CodeBeautify。沒錯，你說得對——事情的發展正如你所預料的那樣糟糕，” watchTowr在周二發布的博客文章中寫道。

在線工具如 JSONFormatter 和 CodeBeautify 旨在美化或驗證數據格式，開發人員將代碼片段或配置文件粘貼到這些工具中以解決格式問題。但根據研究人員的說法，許多員工在不知情的情況下粘貼了包含生產系統中的實時祕密的整個文件。

JSON 和 CodeBeautify 泄露政府、銀行和醫療保健的數據

根據安全公司的說法，泄露的數據缺陷尚未影響包括GitHub倉庫、Postman工作區和DockerHub容器在內的三個平台。然而，它發現了來自JSONFormatter的五年歷史內容和來自CodeBeautify的一年歷史內容，總計超過5GB的豐富和注釋的JSON材料。

“該工具背後的唯一開發者受到的關注如此之大，以至於任何工具主頁的典型訪問很快就會觸發500多個網路請求，我們認爲這可能會產生一些可觀的聯盟營銷收入，” 網路安全團隊解釋道。

watchTowr Labs表示，來自國家基礎設施、政府機構、主要金融機構、保險公司、技術提供商、零售公司、航空航天組織、電信公司、醫院、大學、旅遊企業，甚至網路安全供應商等行業的組織都已泄露了他們的私人信息。

“這些工具非常受歡迎，出現在搜索結果的頂部，針對諸如 'JSON 美化' 和 '最佳祕密粘貼地點' 的搜索詞 (，可能是未經驗證的)，被組織和管理員在企業環境和個人項目中使用，” 安全研究員傑克·諾特在博客文章中寫道。

watchTowr Labs 列出了在暴露的文件中發現的幾類敏感數據，如 Active Directory 憑證、代碼庫認證密鑰、數據庫訪問詳情、LDAP 配置信息、雲環境密鑰、FTP 登入憑證、CI/CD 管道密鑰、私鑰以及帶有敏感參數的完整 API 請求和響應。

調查人員還提到了Jenkins祕密、屬於一家網路安全公司的加密配置文件、來自銀行的客戶信息和屬於一家主要金融交易所的AWS憑證，這些都與Splunk系統有關。

watchTowr: 惡意行爲者正在抓取泄漏信息

根據watchTowr Labs的損害分析，許多泄露的密鑰已被未知方收集並測試。在一項實驗中，研究人員將假冒的AWS訪問密鑰上傳到一個格式化平台，僅在不到兩天的時間裏，惡意行爲者就試圖濫用這些憑證。

"主要是因爲有人已經在利用它，這一切真的非常愚蠢，"Knott繼續說道，“我們不需要更多的人工智能驅動的代理代理平台；我們需要更少的關鍵組織把憑證粘貼到隨機網站上。”

JSONFormatter 和 CodeBeautify 在九月暫時禁用了他們的保存功能，當時安全漏洞被提出來。JSONFormatter 表示它正在 “努力改進”，而 CodeBeautify 則表示它正在實施新的 “增強的 NSFW ( 不適合工作) 內容預防措施。”

HashiCorp 的 Vault Terraform 提供程序中的安全問題

除了泄露的憑據外，HashiCorp 還發現了一個漏洞，攻擊者可以通過該漏洞繞過其 Vault Terraform Provider 中的身分驗證。該公司爲開發者、企業和安全組織提供雲計算基礎設施和保護服務。

根據軟件公司周二分享的發現，Vault Terraform 漏洞影響從 v4.2.0 到 v5.4.0 的版本，源於 LDAP 認證方法中的不安全默認配置。

問題出現的原因是"deny_null_bind"參數在提供者配置Vault的LDAP認證後端時被設置爲false而不是true。該參數決定Vault是否拒絕錯誤密碼或未驗證的綁定。

如果連接的 LDAP 服務器允許匿名綁定，攻擊者可以在沒有任何有效憑據的情況下進行身分驗證並訪問帳戶。