两个旨在帮助软件开发人员格式化和构建代码的网站泄露了数千条登录凭证、身份验证密钥及其他高度敏感信息。
网络安全研究人员发现,这些敏感数据属于政府、银行、医疗等多个高风险领域的组织……
JSONFormatter 和 CodeBeautify 是两个在线工具,允许开发人员粘贴代码并将其转换为更易读的格式。然而,当他们保存结果以供后续参考时,链接中包含的任何内容都会完全暴露给任何人。
问题在于,许多链接中嵌入了凭证、身份验证密钥和其他高度敏感信息,这些信息可能使黑客能够访问相关系统。
据 Bleeping Computer 报道,网络安全公司 watchTowr 发现了超过五年的 JSONformatter 数据和一年的 CodeBeautify 数据,其中包含大量敏感信息。
- Active Directory 凭证
- 数据库和云凭证
- 私钥
- 代码仓库令牌
- CI/CD 密钥
- 支付网关密钥
- API 令牌
- SSH 会话记录
- 大量个人身份信息,包括了解你的客户数据
- 某国际证券交易所 Splunk SOAR 系统使用的 AWS 凭证集
- MSSP 入职邮件泄露的银行凭证
具有讽刺意味的是,其中还包括一家易于识别的网络安全公司的敏感信息。
截至发稿时,这些链接在两个平台上仍可自由访问。
