Δύο ιστότοποι που προορίζονται να βοηθήσουν τους προγραμματιστές λογισμικού να μορφοποιήσουν και να δομήσουν τον κώδικά τους έχουν εκθέσει χιλιάδες διαπιστευτήρια σύνδεσης, κλειδιά ελέγχου ταυτότητας και άλλες εξαιρετικά ευαίσθητες πληροφορίες.
Οι ερευνητές κυβερνοασφάλειας διαπίστωσαν ότι αυτά τα ευαίσθητα δεδομένα ανήκαν σε οργανισμούς σε πολλούς τομείς υψηλού κινδύνου όπως η κυβέρνηση, οι τράπεζες και η υγειονομική περίθαλψη…
Το JSONFormatter και το CodeBeautify είναι δύο διαδικτυακά εργαλεία που επιτρέπουν στους προγραμματιστές λογισμικού να επικολλήσουν τον κώδικά τους και να τον μετατρέψουν σε μια πιο ευανάγνωστη μορφή. Ωστόσο, όταν αποθηκεύουν τα αποτελέσματά τους για αναφορά αργότερα, οτιδήποτε περιλαμβάνουν στους συνδέσμους τους αφήνεται εντελώς εκτεθειμένο σε οποιονδήποτε.
Το ζήτημα είναι ότι σε πολλές περιπτώσεις οι σύνδεσμοι περιελάμβαναν ενσωματωμένα διαπιστευτήρια, κλειδιά ελέγχου ταυτότητας και άλλες εξαιρετικά ευαίσθητες πληροφορίες που θα μπορούσαν να επιτρέψουν στους χάκερ να αποκτήσουν πρόσβαση σε αυτά τα συστήματα.
Υπολογιστής Bleeping αναφέρει ότι η εταιρεία κυβερνοασφάλειας watchTowr βρήκε δεδομένα JSONformatter αξίας άνω των πέντε ετών και δεδομένα CodeBeautify ενός έτους που περιέχουν ένα ευρύ φάσμα ευαίσθητων πληροφοριών.
- Διαπιστευτήρια Active Directory
- Διαπιστευτήρια βάσης δεδομένων και cloud
- Ιδιωτικά κλειδιά
- Διακριτικά αποθήκης κώδικα
- μυστικά CI/CD
- Κλειδιά πύλης πληρωμής
- Tokens API
- Εγγραφές συνεδρίας SSH
- Μεγάλος όγκος στοιχείων προσωπικής ταυτοποίησης (PII), συμπεριλαμβανομένων των δεδομένων του «γνωρίστε τον πελάτη» (KYC)
- Ένα σύνολο διαπιστευτηρίων AWS που χρησιμοποιείται από το σύστημα Splunk SOAR ενός διεθνούς χρηματιστηρίου
- Διαπιστευτήρια για μια τράπεζα που εκτίθεται από ένα μήνυμα ηλεκτρονικού ταχυδρομείου ενσωμάτωσης MSSP
Κατά ειρωνικό τρόπο, αυτό περιλάμβανε ευαίσθητες πληροφορίες από μια εύκολα αναγνωρίσιμη εταιρεία κυβερνοασφάλειας.
Τη στιγμή της σύνταξης, οι σύνδεσμοι εξακολουθούν να είναι ελεύθερα προσβάσιμοι και στις δύο πλατφόρμες.
Τονισμένα αξεσουάρ
Φωτογραφία από Τζέιμς Χάρισον επί Ξεβιδώστε
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
