Yönetişim ve Risk Yönetimi
JSON Kodu ‘Güzelleştiriciler’ Bankalardan ve Devlet Kurumlarından Gelen Hassas Verileri Açığa Çıkarıyor
Mathew J. Schwartz (euroinfosec) •
25 Kasım 2025
Ücretsiz şeylere enayi olmamak zor. Kim karşılıksız bir şey istemez ki? Ancak gerçekte işler böyle yürümez: Her zaman bir maliyet vardır.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
Tehdit istihbarat firması watchTowr’un Salı günkü raporuna göre, JavaScript Nesne Gösterimini “güzelleştirmek” için çevrimiçi araçlar kullanan geliştiriciler, kod depoları için kimlik doğrulama anahtarlarından Active Directory ve veritabanı kimlik bilgilerine, bankacılık müşterileri için kişisel olarak tanımlanabilir bilgilere kadar her şeyi onlara yapıştırıyor.
Bu, firmanın “JSON güzelleştirme” aramasında en üst sıralarda yer alan iki ücretsiz aracı yakından incelemesine dayanıyor: JSONFormatter ve CodeBeautify.
JSON, iyi organize edilmiş, erişilmesi kolay verileri insan tarafından okunabilecek şekilde oluşturmak için tasarlanmış, yaygın olarak kullanılan, hafif bir formattır. Web hizmetleriyle ilgili her şey için, hantal XML bitti, hafif JSON geldi.
Güzelleştirme siteleri, kullanıcıların JSON verilerini biçimlendirmesine, doğrulamasına, kaydetmesine, dönüştürmesine ve paylaşmasına yardımcı olur. Her iki sitenin de çevrimiçi reklamcılık ve bağlı pazarlama bağlantıları aracılığıyla para kazanıldığı görülüyor.
Bir kullanıcı her iki siteye de veri yapıştırıp onu zenginleştirdiğinde, bundan sonra ne olacağına bağlıdır. Hesabı olmayan herkes için zenginleştirilmiş veriler herkese açık olarak yayınlanır. İlk kez bir hesap oluşturan kullanıcılar, genel erişimi kısıtlayabilir, girdikleri ve güzelleştirdikleri kodu 24 saat sonra sona erecek şekilde işaretleyebilir ve ayrıca birisinin zenginleştirilmiş JSON’larına erişmesi için bir URL oluşturabilir. Ayrıca tüm sorgular, her iki sitedeki “son bağlantılar” sayfasında dizine eklenir; burada sorgunun kendisi listelenmez, bunun yerine kaydedilen içeriğe bağlı bir başlık, açıklama ve tarih listelenir.
Ne yazık ki, tam, zenginleştirilmiş koda biraz çaba sarf edilerek erişilebildiği ortaya çıktı ve ileri düzeydeki ısrarcı bir genç tarafından kesinlikle başarılabilir görünüyor.
Araştırmacılar, kaydedilen her öğenin başlığını, kimliğini ve tarihini derlemek için web tarama yazılımını kullandıktan sonra, basit bir HTTP gönderen bir komut dosyası yazdıklarını bildirdiler. POST Her kimlik için depolanan ham içeriği başarıyla alan komut, ardından her iki siteden de hızlı bir şekilde “çok büyük miktarda veri” topladı.
Bu, beş yıllık JSONFormatter kullanımını ve bir yıllık CodeBeautify kullanımını kapsayan “binlerce sırrı” içeren toplam beş gigabaytlık “zenginleştirilmiş, açıklamalı JSON verisi” anlamına geliyordu. Sonuç olarak, araştırmacılar 350.000 başvurunun açığa çıkabileceğini düşünüyor ancak 80.000’e ulaştıktan sonra fişi çektiklerini söyledi.
Jeton Kanarya Boğuluyor
Araştırmacılar, bu veri ifşasını fark edenlerin yalnızca kendileri olup olmadığını test etmek için her iki hizmete de sahte hassas ayrıntılar içeren kanarya tokenleri yüklediler ve gönderimlerin süresinin 24 saat sonra sona ermesini ayarladılar. 24 saat sonra kanaryalar tetiklendi; bu, birisinin kimlik bilgilerini süresi dolmadan önce topladığı ve yüklendikten sonraki 48 saat içinde test etmeye başladığı anlamına geliyordu.
Araştırmacılar, “Yalnız değiliz; bir başkası zaten bu kaynakları kimlik bilgileri için araştırıyor ve aktif olarak test ediyor” dedi.
JSONFormatter ve CodeBeautify, araştırmayla ilgili yorum yapılması veya zenginleştirilmiş verilere erişimi daha iyi kısıtlamak için adım atıp atamayacakları yönündeki talebe hemen yanıt vermedi.
Ücretsiz JSON zenginleştirme hizmetini kimler kullanır? Açığa çıkan verilerin, Mitre tarafından ortaklık ağı için kullanılan paylaşılan bir sistem olan Mitre CoDev’e ait şifrelenmiş kimlik bilgilerini içerdiği ortaya çıktı. Diğer durumlarda araştırmacılar, çalışan GitHub token’larını, üretim ortamları için Amazon Web Services kimlik bilgilerini ve bir bankanın Active Directory kimlik bilgilerini buldu.
JSON zenginleştirme hizmetlerine yapıştırılan pek çok şey JSON bile değildi. Bir vakada araştırmacılar, “tanınmış bir devlet kuruluşu” tarafından kullanılmak üzere oluşturulmuş gibi görünen, “sıfırdan yeni bir ana bilgisayarı yapılandırmak, yükleyicileri aşağı çekmek, kayıt defteri anahtarlarını yapılandırmak, yapılandırmaları güçlendirmek ve son olarak bir web uygulamasını dağıtmak için tasarlanmış” 1.000 satırdan fazla kod içeren bir PowerShell BLOB – diğer bir deyişle ikili büyük nesne – buldular. Açıkça ifade etmek gerekirse, bu veriler bir saldırgana söz konusu kuruluşa saldırma konusunda avantaj sağlayabilecek verilerdir.
Araştırmacılar ayrıca “tanınmış bir ‘hizmet olarak veri gölü’ satıcısı” için Docker Hub, JFrog, Grafana ve Amazon İlişkisel Veritabanı Hizmeti verilerini de buldu. “Büyük bir küresel banka” için, belirli bir ülkeden “müşterinizi tanıyın” çekleriyle ilgili video kayıtlarına giden çalışan bağlantılar tespit ettiler. Açığa çıkan banka verileri arasında müşteri iletişim bilgilerinin adı, e-posta adresi, posta adresi, telefon numarası ve video kaydının URL’si yer alıyordu; bu veriler, görüntülemedikleri MP4 dosyalarına yönlendiriyordu ancak tahminen birisinin kimliğini kanıtlamak için devlet tarafından verilmiş bir kimlik kartını yüzünün yanında tuttuğunu gösteriyordu.
Bu veri açığa çıktıktan sonra, aylarca süren sosyal yardım girişimlerine rağmen, etkilenen kuruluşları uyarmak zor görünüyor. Araştırmacılar, aralarında SSL sertifikası özel anahtar parolalarını, çeşitli dahili parolaları, hem harici hem de dahili ana bilgisayar adlarını ve IP adreslerini, ayrıca çeşitli anahtarlara, sertifikalara ve yapılandırma dosyalarına giden yolları açığa çıkaran tanınmış ve halka açık bir siber güvenlik satıcısının da (isimlerini vermediler) de dahil olduğu yalnızca “birkaç kuruluşun (teşekkür ederiz) bize hızlı bir şekilde yanıt verdiğini” söyledi. Satıcı, bu tür tüm mesajların güvenlik açığı açıklama programına gönderilmesi gerektiğini söyleyerek yanıt verdi.
Açığa çıkan kimlik bilgileri, ulus devlet korsanlarının veya suçluların elinde önemli bir risk teşkil ediyor. Örneğin, Scattered Lapsus$ Hunters alt grubu ShinyHunters, büyük miktarlarda veri çalmak için üçüncü taraf hizmetleri için çalınan kimlik bilgilerini kullanarak tedarik zinciri saldırılarını serbest bırakmaya devam etti. Geçtiğimiz yaz grup, Salesloft Drift’in sohbet robotunun kaynak kodunu içeren ve OAuth token’larını taradıkları GitHub deposunu ihlal etti. Bu onların Drift ile entegre yazılıma erişmelerine ve fidye için tuttukları 760 Salesforce örneğinden müşteri verilerini çalmalarına olanak sağladı.
WatchTowr’daki araştırmacılar, veri setlerini ulusal bilgisayar acil durum müdahale ekipleriyle veya kendileriyle doğrudan iletişime geçen devlet kurumlarıyla paylaşmaktan mutlu olduklarını söyledi.
“Her zaman olduğu gibi herkese şunu hatırlatmak istiyoruz; eğer biz beyin hücresi sayımızın bir olmasıyla bunu başarabilirsek, herkes başarabilir” diye uyardılar.