Os desenvolvedores estão expondo involuntariamente senhas, chaves de API e dados confidenciais em informações de produção em ferramentas de formatação online, como JSONFormatter e CodeBeautify.
Uma nova pesquisa da watchTowr mostra que milhares de segredos de organizações críticas estão acessíveis ao público há anos por meio desses utilitários aparentemente inofensivos.
O código online e os formatadores JSON são populares entre os desenvolvedores que desejam organizar dados confusos rapidamente. Os usuários colam blobs JSON, arquivos de configuração ou scripts e obtêm uma saída bem formatada.
O problema começa quando eles utilizam recursos adicionais, como o botão “Salvar”, que armazena os dados e gera uma URL compartilhável.
Muitos usuários parecem não saber que isso significa que seu conteúdo é armazenado permanentemente e acessível publicamente a qualquer pessoa com o link – e que esses links são fáceis de enumerar.
Páginas “Links recentes”
Ao rastrear as páginas “Links recentes” e endpoints relacionados em JSONFormatter e CodeBeautify, watchTowr coletou mais de 80.000 envios JSON salvos ao longo de vários anos.
Chave JSONFormatter exposta
Eles então analisaram esse conjunto de dados de 5 GB para detectar segredos, credenciais e dados pessoais automaticamente.
Os resultados foram alarmantes: milhares de itens expostos, incluindo credenciais do Active Directory, senhas de banco de dados, chaves de nuvem, chaves privadas, tokens de API, credenciais de CI/CD, dados de sessão SSH, credenciais de gateway de pagamento com cartão e extensas PII.
Os dados expostos não vieram apenas de pequenos projetos de hobby.
Os pesquisadores encontraram vazamentos em uma ampla gama de setores, incluindo infraestrutura nacional crítica, governo, bancos e finanças, seguros, tecnologia, fornecedores de segurança cibernética, varejo, aeroespacial, telecomunicações, saúde, educação e viagens.
Em alguns casos, exportações inteiras de segredos de ferramentas como o AWS Secrets Manager pareciam ter sido coladas nesses serviços.
Os exemplos destacados na pesquisa incluem credenciais Jenkins criptografadas vinculadas a um ambiente de colaboração MITRE, longos scripts de implantação do PowerShell de uma organização governamental e arquivos de configuração de um conhecido provedor “Datalake-as-a-Service” contendo Docker, Grafana, JFrog e credenciais de banco de dados.
Chave Powershell exposta
Descobriu-se que até mesmo uma empresa de segurança cibernética de capital aberto carregou credenciais criptografadas e detalhes de configuração interna para sistemas confidenciais.
Além das credenciais, o conjunto de dados também continha dados pessoais altamente confidenciais. Em um caso, a watchTower identificou vários uploads de registros completos do Know Your Customer (KYC) para um banco em um país específico.
Esses blobs JSON incluíam nomes, endereços, e-mails, nomes de usuário, números de telefone, endereços IP, ISPs e URLs para entrevistas em vídeo KYC gravadas hospedadas no domínio do banco.
A WatchTowr afirma que trabalhou com CERTs nacionais e notificou as organizações afetadas sempre que possível, mas as taxas de resposta foram variadas. Muitas entidades não responderam apesar das múltiplas tentativas de contacto.
A questão central não é uma exploração sofisticada, mas o uso indevido básico de ferramentas: os desenvolvedores colam dados de produção em tempo real em sites de terceiros não confiáveis e depois usam “Salvar” e compartilham links sem compreender a exposição.
O incidente ressalta a necessidade de políticas internas mais rígidas, treinamento de desenvolvedores e fluxos de trabalho mais seguros, como o uso de ferramentas de formatação off-line ou auto-hospedadas e a garantia de que segredos reais e PII nunca saiam de ambientes controlados.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
