コードフォーマットプラットフォームで数千件の秘密情報が漏洩

コードフォーマットプラットフォームの利用者が、数千件の秘密情報やその他の機密情報を漏洩していると、攻撃対象管理プロバイダーのWatchTowrが警告しています。

GitHubは昨年、プラットフォーム全体で約3,900万件の意図しない秘密情報の漏洩を発見しており、過去の調査では、Gitベースのソースコード管理システム（SCM）で公開された秘密情報は恒久的に漏洩したままになることが明らかになっています。

しかし、ユーザーのミスは、公開リポジトリに秘密情報を知らずにハードコーディングすることだけにとどまりません。適切なコードのサニタイズを行わずに利用されるすべてのオンラインツールが、漏洩につながる可能性があります。そして脅威アクターは、それらを鷹のように狙っています。

これは、WatchTowrが、ユーザーがコードを「美しく」するために利用するJSONFormatterやCodeBeautifyから収集した約8万件の保存されたJSONファイルを分析した結果、導き出した結論です。

同社のデータセットには、認証情報、鍵、トークン、設定ファイル、SSHセッション記録、機密APIリクエストとレスポンス、個人を特定できる情報（PII）、その他の機密情報など、数千件の機密情報が含まれていました。

あるケースでは、誰かがAWS Secrets Managerのすべての認証情報をコードフォーマットソリューションにエクスポートしていたことが判明しました。

サイバーセキュリティおよび重要インフラ関連組織も被害

漏洩した秘密情報は、テクノロジーやサイバーセキュリティ、重要な国家インフラ、政府、金融、ヘルスケア、航空宇宙、保険、銀行、教育、通信、旅行など、複数の業界の組織に属しています。

問題は、人々がこれらのプラットフォームを使って企業や個人プロジェクトのコードを整形・美化すること自体ではありません。

問題は、一部のユーザーがプロジェクトを保存してコードへのリンクを作成し、それを共有できるようにしていること、そしてこれらのプラットフォームが訪問者に最近保存されたコンテンツや関連URLを閲覧させていることです。

WatchTowrは、JSONFormatterとCodeBeautifyの「Recent Links」ページを利用して、数年分の履歴コンテンツに相当する5GB以上のJSONデータを取得しました。

データを分析した後、漏洩の影響を受けた著名な組織への連絡を試み、さらに多くの組織に連絡するためCERTチームと協力しました。

これらのJSONフォーマットプラットフォームに偽の認証情報を配置することで、サイバーセキュリティ企業は他にもデータベースをスクレイピングしている者がいること、そして漏洩した秘密情報が数日以内に利用されていることを発見しました。

「私たちに必要なのは、AI駆動のエージェントプラットフォームの増加ではなく、重要な組織が認証情報を無作為なウェブサイトに貼り付けることを減らすことです」とWatchTowrは指摘しています。