watchTowr Labs’taki güvenlik araştırmacıları, popüler çevrimiçi JSON biçimlendirme araçlarını taradıktan sonra, hassas kimlik bilgilerinin büyük bir sızıntısını ortaya çıkardı.
Geliştiriciler ve yöneticiler, “kaydetme” özelliklerinin herkese açık olarak paylaşılabilir bağlantılar oluşturduğu jsonformatter.org ve codebeautify.org gibi sitelere şifreleri, API anahtarlarını, veritabanı kimlik bilgilerini ve kişisel olarak tanımlanabilir bilgileri (PII) yapıştırıyor.
Ekip, “Son Bağlantılar” sayfalarını tarayarak ve/service/getDataFromID gibi uç noktalara basit POST istekleri yoluyla veri çıkararak, yıllar boyunca 80.000’den fazla başvuru topladı ve hükümet, finans, kritik ulusal altyapı (CNI) ve siber güvenlik firmaları da dahil olmak üzere kritik sektörlerden binlerce yüksek değerli sırrı açığa çıkardı.
Bu gösterimler, hızlı kod güzelleştirme için tasarlanmış araçlardan kaynaklanıyor ve genellikle “JSON güzelleştirme” aramalarında üst sıralarda yer alıyor.
Geçmiş “Son Bağlantılar” sayfaları yalnızca jsonformatter.org’daki 350.000’e kadar girişi listeler ve her sayfada başlıklar, tarihler ve kimlikler dahil 10 öğe bulunur.
Biçim tahmin edilebilirdir ve otomatik kazımaya olanak tanır: ham JSON yüklerini almak için sayfaları yineleyin, kimlikleri alın ve POST {“urlid”: “ID”, “toolstype”: “json”}.
Bu yöntem, şartları ihlal etmeden gigabaytlarca veri sağladı; sabit kodlanmış AWS AccessKeyId’leri (AKIA önekli), şifrelenmiş ana anahtarlara sahip Jenkins kimlik bilgileri.xml dosyalarını ve üretim S3 paketlerine bağlı Splunk SOAR oyun kitaplarını açığa çıkardı.
Sektörlerde Şok Keşifler
Analiz, kurumsal bağlantılı sırlara, kurumsal e-postalara, alanlara veya CyberArk gibi anahtar kelimelere ve dahili ana makine adlarına yönelik filtrelemeye odaklandı.
Kritik bulgular arasında, merkezi bir ABD bankasına ait kullanıcı adları, şifreler, güvenlik soruları ve belirteçler de dahil olmak üzere bir MSSP çalışanının işe alım e-postası aracılığıyla sızdırılan Active Directory kimlik bilgileri yer alıyordu.
Bir siber güvenlik satıcısı, potansiyel olarak üretim kurulumlarını yansıtan şifrelenmiş SPN tuş sekmelerini, SSL özel anahtar parolalarını ve QA/geliştirme yapılandırmalarını açığa çıkardı.
Müşteri profili adları, adresleri, telefonları, IP’leri, İSS’leri ve banka etki alanlarında barındırılan video görüşme bağlantıları dahil olmak üzere bankacılık KYC verileri boşaltıldı.
Devlet kurumları, dahili uç noktaları, IIS yapılandırmalarını, kayıt defteri sağlamlaştırmasını ve varsayılan yönetici kullanıcı adlarını ayrıntılarıyla anlatan 1.000 satırdan uzun PowerShell dağıtım komut dosyalarını ortaya çıkardı.
Bir borsa, olay müdahale otomasyonu için AWS kimlik bilgilerini sızdırarak algılama mantığının sabote edilmesi riskini doğurdu.
Tedarik zinciri firmaları, bulut altyapısı yapılandırmalarında Docker Hub, JFrog, Grafana ve RDS kimlik bilgilerini paylaştı.
MITRE bağlantılı Jenkins’in bir üniversite projesinden yaptığı ihracatlarda bile şifrelenmiş tokenlar ve özel anahtarlar ortaya çıktı. Etkilenen sektörler: finans, telekomünikasyon, sağlık hizmetleri, havacılık, perakende ve bankalara hizmet veren MSSP’ler.
| Gizli Tip | Bulunan Örnekler | Etkilenen Sektörler |
|---|---|---|
| Bulut Anahtarları | AWS AKIA/SecretAccessKey, S3 klasörleri | Borsalar, Teknoloji |
| Kimlik Doğrulama Bilgileri | AD kullanıcı adları/şifreleri, Jenkins XML | MSSP’ler, Bankalar, Hükümet |
| API Belirteçleri | GitHub RW belirteçleri, Splunk SOAR | Danışmanlıklar, Sektör Firmaları |
| Kişisel Bilgiler/Veritabanları | KYC profilleri, RDS kredileri | Bankacılık, Sigorta |
| Yapılandırmalar/Komut Dosyaları | PowerShell sağlamlaştırma, SPN tuş sekmeleri | Hükümet, Siber Güvenlik |
WatchTower, etkilenen kuruluşlara ve CISA, NCSC UK ve CERT-EU gibi CERT’lere aylar önceden bildirimde bulundu ancak sınırlı yanıt aldı.
Bir canarytoken testi diğerlerinin kazıklandığını doğruladı: Sahte AWS kimlik bilgileri, son kullanma tarihinden 48 saat sonra isabetleri tetikleyerek aktif istismarı kanıtladı.
Geliştiriciler hassas verileri bu araçlara kaydetmekten kaçınmalı, bunun yerine yerel düzenleyicileri veya güvenli kasaları kullanmalıdır. Platformlar genel kaydetmeyi kapatmalı veya süre sonu yaptırımı eklemelidir.
Bu, ortak sorumluluğun altını çiziyor: bilgili ekipler bile kolaylık yoluyla sızıntı yapıyor ve bu da tedarik zinciri risklerini artırıyor.
WatchTowr’un platformu gibi önleyici açığa çıkma yönetimi, bu tür kusurları saldırganlardan önce tespit eder.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.