- WatchTowr menemukan JSONFormatter dan CodeBeautify mengekspos data sensitif melalui fitur “Tautan Terbaru” yang tidak dilindungi
- Para peneliti mengumpulkan data mentah selama bertahun-tahun, mengungkap kredensial, kunci pribadi, token API, dan PII dari industri penting
- Penjahat sudah menyelidiki kelemahan tersebut, menyoroti risiko mengunggah kode sensitif ke situs pemformatan publik
Beberapa situs pemformatan kode teratas mengungkap informasi sensitif dan dapat diidentifikasi yang dapat membahayakan banyak organisasi, termasuk pemerintah dan infrastruktur penting, menurut para ahli.
Peneliti keamanan siber WatchTowr dianalisis JSONFormatter dan CodeBeautify, layanan tempat pengguna dapat mengirimkan kodeatau data (paling umum JSON), untuk memformat, memvalidasi, dan “mempercantik” agar lebih mudah dibaca dan di-debug.
Para ahli mengatakan kedua situs ini memiliki fitur yang disebut Tautan Terbaru, yang secara otomatis mencantumkan file atau URL terakhir yang diformat atau dianalisis di platform. Fitur ini tidak dilindungi dengan cara apa pun, dan mengikuti format URL yang dapat diprediksi dan dapat dimanfaatkan dengan crawler.
Peringatan bagi pengguna
Mengingat lemahnya keamanan dan format URL terstruktur, peneliti WatchTowr berhasil mengambil data mentah JSONFormatter selama lima tahun, dan data CodeBeautify selama setahun penuh.
Dalam data tersebut, mereka menemukan segala macam informasi sensitif: kredensial Direktori Aktif, kredensial database dan cloud, kunci pribadi, token repositori kode, rahasia CI/CD, kunci gateway pembayaran, token API, rekaman sesi SSH, informasi PII dan KYC, dan banyak lagi.
Perusahaan-perusahaan yang secara sadar dan tidak sadar membagikan informasi ini bekerja di pemerintahan, infrastruktur penting, keuangan, dirgantara, perawatan kesehatan, keamanan siber, telekomunikasi, dan industri lainnya.
WatchTowr juga mengatakan bahwa bahkan tanpa data sensitif, informasi dalam kode tetap berharga, karena sering kali berisi detail tentang titik akhir internal, nilai dan properti konfigurasi IIS, dan konfigurasi pengerasan dengan kunci registri yang sesuai. Informasi tersebut dapat membantu pelaku kejahatan merancang intrusi yang ditargetkan, melewati kontrol keamanan, atau mengeksploitasi kesalahan konfigurasi.
Para peneliti juga mengatakan bahwa beberapa penjahat sudah menyalahgunakan kerentanan ini. Mereka menambahkan kunci AWS palsu ke platform, dan mengaturnya agar “kedaluwarsa” dalam 24 jam, namun seseorang mencoba menggunakannya 48 jam kemudian.
“Yang lebih menarik lagi, mereka diuji 48 jam setelah pengunggahan dan penyimpanan awal kami (bagi mereka yang memiliki tantangan matematis, ini adalah 24 jam setelah tautan tersebut kedaluwarsa dan konten yang ‘disimpan’ dihapus),” watchTowr menyimpulkan, mendesak pengguna untuk berhati-hati dengan apa yang mereka unggah.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
