代码美化工具泄露银行政府机构敏感凭证
安全研究人员发现,JSONFormatter 和 CodeBeautify 两个在线代码格式化工具通过"最近链接"功能意外暴露了超过 8 万个用户粘贴内容,总计超过 5GB 数据。这些泄露的敏感信息包括 Active Directory 凭证、数据库和云服务凭证、私钥、API 令牌等,涉及银行、政府、关键基础设施、网络安全公司等高风险行业组织。
研究人员通过爬取这些平台可预测的 URL 结构轻松获取了所有公开数据,其中包括国际证券交易所的 AWS 凭证、美国银行的登录信息,以及网络安全公司的加密配置文件。更令人担忧的是,研究人员植入的虚假 AWS 密钥在链接过期 24 小时后仍被攻击者尝试使用,表明威胁行为者正在持续扫描这些平台寻找敏感数据。目前这两个平台的"最近链接"功能仍然可以自由访问。
BleepingComputer
🍀在花频道 🍵茶馆 📮投稿新鲜事
安全研究人员发现,JSONFormatter 和 CodeBeautify 两个在线代码格式化工具通过"最近链接"功能意外暴露了超过 8 万个用户粘贴内容,总计超过 5GB 数据。这些泄露的敏感信息包括 Active Directory 凭证、数据库和云服务凭证、私钥、API 令牌等,涉及银行、政府、关键基础设施、网络安全公司等高风险行业组织。
研究人员通过爬取这些平台可预测的 URL 结构轻松获取了所有公开数据,其中包括国际证券交易所的 AWS 凭证、美国银行的登录信息,以及网络安全公司的加密配置文件。更令人担忧的是,研究人员植入的虚假 AWS 密钥在链接过期 24 小时后仍被攻击者尝试使用,表明威胁行为者正在持续扫描这些平台寻找敏感数据。目前这两个平台的"最近链接"功能仍然可以自由访问。
BleepingComputer
🍀在花频道 🍵茶馆 📮投稿新鲜事
