Nghiên cứu mới đã phát hiện ra rằng các tổ chức trong nhiều lĩnh vực nhạy cảm, bao gồm chính phủ, viễn thông và cơ sở hạ tầng quan trọng, đang dán mật khẩu và thông tin đăng nhập (credentials) vào các công cụ trực tuyến như JSONformatter và CodeBeautify, vốn được sử dụng để định dạng và xác thực mã.
Công ty an ninh mạng watchTowr Labs cho biết họ đã thu thập được một tập dữ liệu gồm hơn 80.000 tệp trên các trang web này, qua đó phát hiện hàng nghìn tên người dùng, mật khẩu, khóa xác thực kho lưu trữ (repository authentication keys), thông tin đăng nhập Active Directory, thông tin đăng nhập cơ sở dữ liệu (database credentials), thông tin đăng nhập FTP, khóa môi trường đám mây (cloud environment keys), thông tin cấu hình LDAP, khóa API helpdesk, khóa API phòng họp, bản ghi phiên SSH và đủ loại thông tin cá nhân.
Dữ liệu này bao gồm nội dung JSONFormatter lịch sử trong 5 năm và nội dung CodeBeautify lịch sử trong 1 năm, tổng cộng hơn 5GB dữ liệu JSON đã được làm giàu và chú thích.
Các tổ chức bị ảnh hưởng bởi vụ rò rỉ trải rộng từ cơ sở hạ tầng quốc gia quan trọng, chính phủ, tài chính, bảo hiểm, ngân hàng, công nghệ, bán lẻ, hàng không vũ trụ, viễn thông, y tế, giáo dục, du lịch và, trớ trêu thay, cả các ngành an ninh mạng.
"Các công cụ này cực kỳ phổ biến, thường xuất hiện gần đầu kết quả tìm kiếm cho các thuật ngữ như 'JSON beautify' và 'best place to paste secrets' (có lẽ vậy, chưa được chứng minh) -- và được sử dụng bởi nhiều tổ chức, cá nhân, nhà phát triển và quản trị viên trong cả môi trường doanh nghiệp và các dự án cá nhân," nhà nghiên cứu bảo mật Jake Knott cho biết trong một báo cáo được chia sẻ với The Hacker News.
Cả hai công cụ này cũng cung cấp khả năng lưu cấu trúc JSON hoặc mã đã định dạng, biến nó thành một liên kết có thể chia sẻ, bán vĩnh viễn với những người khác – cho phép bất kỳ ai có quyền truy cập vào URL đều có thể truy cập dữ liệu.
Điều đáng nói là các trang web này không chỉ cung cấp một trang Recent Links tiện lợi để liệt kê tất cả các liên kết đã lưu gần đây, mà còn tuân theo định dạng URL có thể dự đoán được cho các liên kết có thể chia sẻ, do đó giúp tin tặc (bad actor) dễ dàng truy xuất tất cả URL bằng một công cụ thu thập dữ liệu (crawler) đơn giản:
- https://jsonformatter.org/{id-here}
- https://jsonformatter.org/{formatter-type}/{id-here}
- https://codebeautify.org/{formatter-type}/{id-here}
Một số ví dụ về thông tin bị rò rỉ bao gồm Jenkins secrets, một công ty an ninh mạng để lộ thông tin đăng nhập (credentials) được mã hóa cho các tệp cấu hình nhạy cảm, thông tin Know Your Customer (KYC) liên quan đến một ngân hàng, thông tin đăng nhập AWS của một sàn giao dịch tài chính lớn được liên kết với Splunk, và thông tin đăng nhập Active Directory của một ngân hàng.
Tệ hơn nữa, công ty cho biết họ đã tải lên các khóa truy cập AWS giả mạo vào một trong các công cụ này, và phát hiện ra tin tặc (bad actors) đã cố gắng lạm dụng chúng 48 giờ sau khi được lưu. Điều này cho thấy thông tin có giá trị bị lộ qua các nguồn này đang bị các bên khác thu thập (scrape) và kiểm tra, gây ra rủi ro nghiêm trọng.
"Chủ yếu là vì ai đó đã và đang khai thác nó rồi, và tất cả điều này thực sự, thực sự ngu ngốc," Knott nói. "Chúng ta không cần thêm các nền tảng tác nhân (agent) tự động hóa (AI-driven agentic agent platforms); chúng ta cần ít tổ chức quan trọng dán thông tin đăng nhập (credentials) vào các trang web ngẫu nhiên hơn."
Khi được The Hacker News kiểm tra, cả JSONFormatter và CodeBeautify đều đã tạm thời vô hiệu hóa chức năng lưu, tuyên bố họ đang "cố gắng cải thiện" và triển khai "các biện pháp ngăn chặn nội dung NSFW (Not Safe For Work) nâng cao."
watchTowr cho biết chức năng lưu đã bị các trang web này vô hiệu hóa có thể là do phản ứng với nghiên cứu. "Chúng tôi nghi ngờ sự thay đổi này xảy ra vào tháng 9 để đáp lại thông tin liên lạc từ một số tổ chức bị ảnh hưởng mà chúng tôi đã cảnh báo," công ty cho biết thêm.
