Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Uma investigação conduzida pela empresa de segurança cibernética WatchTowr descobriu que plataformas online de formatação de código, como JSONFormatter e CodeBeautify, expuseram milhares de informações confidenciais. Dados como senhas, chaves de acesso e credenciais administrativas foram vazados, mesmo após alertas anteriores e em sistemas críticos que já deveriam ter sido protegidos.
Mais de 80.000 arquivos JSON foram coletados e examinados por meio de ferramentas internas, revelando uma ampla gama de informações sensíveis. Entre os dados encontrados estão diversas credenciais e informações pessoais identificáveis, conhecidas pela sigla PII.
Apesar de o estudo destacar a vulnerabilidade desses formatadores de código, os analistas enfatizam a facilidade com que muitas companhias compartilham dados sigilosos de forma pública, negligenciando práticas básicas de segurança corporativa. Foram localizadas chaves de API, chaves privadas, credenciais de serviços em nuvem, registros de acesso SSH e até exportações do gerenciador de segredos da AWS.
As entidades impactadas pelos vazamentos abrangem setores essenciais como administração pública, instituições financeiras, saúde, telecomunicações e outros. Uma falha significativa foi identificada nas funcionalidades ‘Salvar’ e ‘Links Recentes’ oferecidas por esses sites, onde usuários, sem intenção, tornavam público o conteúdo colado por meio de URLs previsíveis e indexáveis.
Em termos práticos, ao adicionar um termo como ‘BancoImportante/Recentes’ ao final do endereço web, era possível acessar tudo o que um desenvolvedor daquela organização havia enviado recentemente à plataforma. Ao reunir informações dessas páginas, a WatchTowr obteve mais de 80.000 envios históricos, totalizando mais de 5 GB de conteúdo. Trata-se de uma exposição massiva de dados confidenciais que os clientes não perceberam ter tornado acessíveis.
Os pesquisadores notificaram as organizações e entidades de segurança envolvidas durante meses, mas a maioria não respondeu. Configurações internas de governos foram expostas via scripts PowerShell, credenciais criptografadas do Jenkins (relacionadas à empresa MITRE) devido a uma exportação inadequada feita por um estudante, e bancos de dados do Docker, JFrog, Grafana, entre outros, foram comprometidos.
Testes confirmaram que agentes maliciosos já exploraram essas plataformas e estão coletando informações para futuros ataques, evidenciando o risco de simplesmente colar credenciais em sites desse tipo.
Os analistas relataram ter recebido críticas por divulgar a falha, mas afirmam que a exploração já ocorria anteriormente. Eles concluem que não são necessárias mais plataformas com inteligência artificial avançada, mas sim menos organizações críticas colando credenciais em sites aleatórios na internet.
