严重泄露:大量政府、金融及关键基础设施凭据因使用在线代码格式化工具遭窃取
watchTowr Labs的报告称,他们从上述网站捕获了一个包含超过8万个文件的数据集,挖掘出数以千计的用户名、密码、API密钥及其他关键认证信息。
泄露的数据类型令人触目惊心,包括但不限于:
- 用户名与明文密码
- 代码仓库认证密钥(Repository keys)
- Active Directory(AD)凭据
- 数据库与FTP凭据
- 云环境密钥(AWS、Azure等)
- LDAP 配置信息
- 服务台(Helpdesk)与会议室API密钥
- SSH会话记录
- 各类个人身份信息(PII)
受影响的组织横跨多个关键领域,包括多个国家的关键基础设施、政府部门、金融保险、银行、科技零售、航空航天、电信、医疗保健、教育、旅游,讽刺的是,甚至还包括网络安全行业本身。
“保存”功能成泄露源头
研究指出,这些站点不仅提供了“最近链接(Recent Links)”页面来列出所有新保存的内容,其生成的URL格式也极具规律性,使得攻击者极易通过简单的爬虫程序批量获取数据:
- https://jsonformatter.org/{id-here}
- https://jsonformatter.org/{formatter-type}/{id-here}
- https://codebeautify.org/{formatter-type}/{id-here}
具体的泄露案例包括:某家网络安全公司暴露了敏感配置文件的加密凭据;某银行的客户身份验证(KYC)敏感信息;某主要金融交易所关联Splunk的AWS凭据;以及某银行的Active Directory凭据。
黑客已在野利用,48小时内即遭攻击
这一发现证实,黑客正在主动搜刮这些公共资源并验证其中的凭据,对相关组织构成了极其严重的即时威胁。
安全研究员Jake Knott在报告中直言不讳地指出:“之所以有人利用这一点,主要是因为这种行为(粘贴凭据)实在太愚蠢了。我们不需要更多基于 AI 的智能体平台,我们需要的是更少的关键组织将凭据粘贴到随机网站上。”
厂商回应与整改
watchTowr认为,这一变动很可能是对他们研究的回应。该公司表示:“我们怀疑这一变化发生在9月份,当时我们向多家受影响的组织发出了警报。”
安全建议
- 加强员工意识培训:严禁将任何包含内部数据、代码或凭据的内容粘贴到未经授权的第三方在线工具中。
- 部署本地工具:为开发人员提供离线或内部部署的代码格式化与验证工具(如 IDE插件),替代在线服务。
- 监控与检测:审查网络日志,检测是否有向此类站点的异常数据上传行为,并定期扫描公开网络以排查泄露的凭据。
