Przez 5 lat nikt tego nie wykrył. Teraz ujawniono jeden z największych wycieków danych
Jeśli kiedykolwiek korzystałeś z JSONFormatter lub CodeBeautify, aby szybko sformatować kod, mamy dla ciebie złe wieści.
Badacze odkryli, że te popularne narzędzia online przez lata publicznie udostępniały wrażliwe dane użytkowników - w tym hasła do banków, klucze API i dane logowania do stron.
Problemem była funkcja „Recent Links”, która bez jakiejkolwiek ochrony wyświetlała publicznie wszystkie wklejane treści przez użytkowników. W sumie wystawiono ponad 80 000 wpisów zawierających dane uwierzytelniające z banków, stron internetowych, agencji rządowych i firm technologicznych. JSONFormatter gromadził takie treści przez pięć lat, a CodeBeautify przez rok.
Wśród wycieków znalazły się m.in. dane Active Directory, klucze AWS z systemu Splunk SOAR dużej giełdy finansowej oraz hasła bankowe przypadkowo wysłane przez dostawcę usług bezpieczeństwa w powitalnym e-mailu. Wszystko było dostępne dla każdego, kto wpisał odpowiedni adres URL.
Badacze przeprowadzili więc test podrzucając fałszywe dane AWS z 24-godzinnym terminem ważności. Hakerzy próbowali ich użyć dopiero po 48 godzinach (już po wygaśnięciu) co dowodzi, że atakujący aktywnie przeszukiwali wspomniane narzędzia w poszukiwaniu cennych loginów.
Raport opublikowany przez BleepingComputer to ostrzeżenie dla wszystkich, aby nigdy nie wklejać wrażliwych danych do darmowych narzędzi online, nawet jeśli wydają się bezpieczne.
