(画像クレジット: Geralt / Pixabay)
- WatchTowrが、JSONFormatterとCodeBeautifyが無防備な「Recent Links」機能を通じて機密データを露出していることを発見
- 研究者は数年分の生データを取得し、重要な業界の認証情報、秘密鍵、APIトークン、個人情報(PII)を発見
- 犯罪者がすでにこの脆弱性を調査しており、機密コードを公開整形サイトにアップロードするリスクが浮き彫りに
主要なコード整形サイトのいくつかが、組織や政府機関、重要インフラを含む無数の組織を危険にさらす可能性のある機密性の高い識別情報を露出していると、専門家が警告しています。
サイバーセキュリティ研究者のWatchTowrは、ユーザーが分析したJSONFormatterとCodeBeautifyというサービスを調査しました。これらは、ユーザーがコードやデータ(主にJSON)を提出し、整形・検証・「美化」して読みやすくし、デバッグを容易にするサービスです。
専門家によると、これら2つのサイトには「Recent Links」という機能があり、プラットフォーム上で最後に整形または解析されたファイルやURLを自動的に一覧表示します。この機能には一切の保護がなく、予測可能なURL形式のため、クローラーによって悪用される可能性があります。
ユーザーへの警告
セキュリティが緩く、URL形式が構造化されていることから、WatchTowrの研究者はJSONFormatterの5年分の生データと、CodeBeautifyの1年分のデータを取得することに成功しました。
そのデータの中には、Active Directoryの認証情報、データベースやクラウドの認証情報、秘密鍵、コードリポジトリのトークン、CI/CDのシークレット、決済ゲートウェイのキー、APIトークン、SSHセッションの記録、個人情報(PII)やKYC情報など、あらゆる種類の機密情報が含まれていました。
この情報を意図せず、または知らずに共有していた企業は、政府、重要インフラ、金融、航空宇宙、医療、サイバーセキュリティ、通信など多岐にわたります。
WatchTowrはまた、機密データが含まれていなくても、コード内の情報は価値が高いと指摘しています。なぜなら、内部エンドポイント、IISの構成値やプロパティ、対応するレジストリキーを含むハードニング設定などの詳細が含まれていることが多いからです。こうした情報は、悪意のある攻撃者が標的型の侵入を仕掛けたり、セキュリティ制御を回避したり、設定ミスを悪用したりするのに役立ちます。
研究者によれば、すでに一部の犯罪者がこの脆弱性を悪用しているとのことです。彼らは偽のAWSキーをプラットフォームに追加し、24時間で「期限切れ」となるように設定しましたが、48時間後に誰かがそれを使用しようとしました。
「さらに興味深いのは、最初のアップロードと保存から48時間後(数学が苦手な方のために言うと、リンクが期限切れとなり『保存された』コンテンツが削除された24時間後)にテストされたことです」とwatchTowrは結論付け、ユーザーにアップロードする内容には十分注意するよう呼びかけています。
