Más de 80.000 archivos confidenciales de contraseñas y claves se filtraron en línea

La empresa de ciberseguridad watchTowr ha descubierto un conjunto de contraseñas filtradas, claves de acceso y archivos de configuración confidenciales que fueron expuestos involuntariamente desde herramientas de formato en línea populares, el formateador JSON y CodeBeautify. 

watchTowr Labs afirmó haber recopilado un conjunto de datos con más de 80.000 archivos de sitios web utilizados para formatear y validar código. Dentro de estos archivos, los investigadores encontraron nombres de usuario, contraseñas, claves de autenticación de repositorios,dentde Active Directory, cadenas de conexión a bases de datos,dentFTP, claves de acceso a entornos de nube, detalles de configuración de LDAP, claves API del servicio de asistencia e incluso grabaciones de sesiones SSH. 

Hemos estado revisando plataformas que los desarrolladores usan para formatear rápidamente sus entradas, como JSONFormatter y CodeBeautify. Y sí, tienes razón: salió tan mal como cabía esperar, según la entrada del blog de watchTowr publicada el martes.

Las utilidades en línea como JSONFormatter y CodeBeautify están diseñadas para embellecer o validar formatos de datos, donde los desarrolladores pegan fragmentos de código o archivos de configuración para solucionar problemas de formato. Sin embargo, según los investigadores, muchos empleados pegan, sin saberlo, archivos completos que contienen información confidencial de los sistemas de producción.

JSON y CodeBeautify filtran datos del gobierno, los bancos y la atención médica

Según la empresa de seguridad, la vulnerabilidad de datos filtrada aún no ha afectado a tres plataformas, incluyendo repositorios de GitHub, espacios de trabajo de Postman y contenedores de DockerHub. Sin embargo, se encontraron cinco años de contenido histórico de JSONFormatter y un año de contenido histórico de CodeBeautify, lo que suma más de 5 gigabytes de material JSON enriquecido y anotado. 

“La popularidad es tan grande que el único desarrollador detrás de estas herramientas está bastante inspirado: una visita típica a la página de inicio de cualquier herramienta desencadena más de 500 solicitudes web con bastante rapidez para generar lo que suponemos son unos ingresos muy interesantes por marketing de afiliados”, explicó el grupo de ciberseguridad.

watchTowr Labs dijo que organizaciones de industrias como infraestructura nacional, agencias gubernamentales, importantes instituciones financieras, compañías de seguros, proveedores de tecnología, empresas minoristas, organizaciones aeroespaciales, telecomunicaciones, hospitales, universidades, empresas de viajes e incluso proveedores de ciberseguridad han visto expuesta su información privada .

“Estas herramientas son extremadamente populares y aparecen cerca de la parte superior de los resultados de búsqueda para términos como 'embellecer JSON' y 'mejor lugar para pegar secretos' (probablemente, no probado), utilizadas por organizaciones y administradores tanto en entornos empresariales como para proyectos personales”, escribió el investigador de seguridad Jake Knott en la publicación del blog.

watchTowr Labs enumeró varias categorías de datos confidenciales encontrados dentro de los archivos expuestos, comodentde Active Directory, claves de autenticación del repositorio de código, detalles de acceso a la base de datos, información de configuración de LDAP, claves del entorno de nube,dentde inicio de sesión de FTP, claves de canalización CI/CD, claves privadas y solicitudes y respuestas de API completas con parámetros confidenciales.

Los investigadores también mencionaron secretos de Jenkins, archivos de configuración cifrados pertenecientes a una empresa de ciberseguridad, información de Conozca a su cliente de los bancos ydentde AWS pertenecientes a un importante intercambio financiero que estaban conectados a los sistemas Splunk. 

watchTowr: Actores maliciosos están aprovechando las filtraciones

Según el análisis de daños de watchTowr Labs, muchas de las claves filtradas fueron recopiladas y probadas por desconocidos. En un experimento, los investigadores subieron AWS a una de las plataformas de formato y, en menos de dos días, agentes maliciosos intentaron abusar de las dent .

“Principalmente porque alguien ya lo está explotando, y todo esto es realmente muy estúpido”, continuó Knott, “no necesitamos más plataformas de agentes impulsadas por IA; necesitamos menos organizaciones críticas que peguendenten sitios web aleatorios”.

JSONFormatter y CodeBeautify desactivaron temporalmente su función de guardado en septiembre, cuando se les informó sobre la falla de seguridad. JSONFormatter estaba "trabajando para mejorarlo", mientras que CodeBeautify afirmó estar implementando nuevas "medidas mejoradas de prevención de contenido NSFW (No apto para el trabajo)". 

Problema de seguridad en el proveedor Vault Terraform de HashiCorp

Además de lasdentfiltradas, HashiCorp, empresa de IBM con sede en San Francisco, encontró una vulnerabilidad que podría permitir a los atacantes eludir la autenticación en su proveedor Vault Terraform. La empresa ofrece infraestructura de computación en la nube y servicios de protección a desarrolladores, empresas y organizaciones de seguridad.

los hallazgos de la compañía de software compartidos el martes, la falla de Vault Terraform afecta a las versiones v4.2.0 a v5.4.0 desde una configuración predeterminada insegura en el método de autenticación LDAP.

El problema surge porque el parámetro "deny_null_bind" se establece en falso en lugar de verdadero cuando el proveedor configura el backend de autenticación LDAP de Vault. Este parámetro determina si Vault rechaza una contraseña incorrecta o enlaces no autenticados. 

Si el servidor LDAP conectado permite enlaces anónimos, los atacantes pueden autenticar y acceder a cuentas sindentválidas.

¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.