La découverte par une société de sécurité révèle une utilisation non sécurisée généralisée des outils en ligne dans les entreprises.
Une grande quantité d’informations d’identification sensibles, de clés d’authentification, de données de configuration, de jetons et de clés API a été potentiellement exposée par les développeurs utilisant deux sites de formatage de code populaires, a découvert la société de sécurité watchTowr.
Dans un secteur qui s’inquiète normalement des activités criminelles, les recherches de watchTowr sur les sites d’utilitaires de code JSON Formatter et Code Beautify mettent en lumière un problème complètement différent : les données peuvent également être divulguées par des développeurs qui les laissent accidentellement sur des sites Web tiers.
Ces deux sites offrent aux développeurs un moyen rapide d’exécuter un large éventail de fonctions de codage, notamment le formatage JSON et du code, la vérification et le débogage du code et la conversion des données.
Les visiteurs peuvent utiliser la fonction utile « Enregistrer » des sites qui leur permet de partager le code qu’ils ont généré, à des fins de création de favoris ou de partage avec des collègues. Les chercheurs ont rapidement repéré un problème de sécurité : toute personne capable d’accéder ou de voler l’URL partageable aurait un chemin vers les données originales et leur contenu sensible.
Cependant, il s’est avéré que les sites exposaient également les données réelles via une fonctionnalité distincte « Liens récents ». En interrogeant le point de terminaison de l’API des sites, watchTowr a pu extraire le contenu derrière chaque lien de plus de 80 000 soumissions téléchargées, cinq ans de contenu historique du formateur JSON, un an de contenu historique Code Beautify, plus de 5 Go de données enrichies, des données JSON annotées et des milliers de secrets. Ceux-ci comprenaient :
- Identifiants Active Directory
- Clés d’authentification du référentiel de code
- Informations d’identification de la base de données
- Informations de configuration LDAP
- Clés de l’environnement cloud
- Identifiants FTP
- Identifiants du pipeline CI/CD
- Requêtes et réponses API complètes et sensibles
- Clés privées
- Identifiants de la passerelle de paiement par carte
- Identifiants RTSP
- Jetons JWT administratifs
- Clés API du service d’assistance
- Clés API de salle de réunion
- Enregistrements de sessions SSH
- Un large éventail d’informations personnellement identifiables (PII)
De toute évidence, les développeurs utilisant les plateformes n’avaient pas réalisé que lorsqu’ils saisissaient leurs données, celles-ci seraient conservées et potentiellement exposées en raison de la conception non sécurisée des sites.
Faible réponse
Les chercheurs ont identifié de nombreuses grandes organisations dont les données étaient exposées dans les URL, notamment celles du gouvernement, des infrastructures nationales critiques, des soins de santé, des banques et même une importante entreprise de cybersécurité.
Une curieuse découverte concerne les données publiées par un MSSP : le nom d’utilisateur Active Directory (AD) et les identifiants de messagerie appartenant à l’un de ses clients, une grande banque américaine. Étant donné que les données n’étaient pas un JSON valide, les chercheurs supposent que la personne qui a publié les données utilisait simplement le service pour générer une URL via laquelle partager des informations d’identification.
Lorsque les chercheurs ont tenté d’alerter les entreprises concernées sur leurs fuites de données, elles ont souvent été ignorées. « Parmi les organisations concernées que nous avons essayé de contacter, seule une poignée (merci) nous a répondu rapidement. La majorité n’a pas pris la peine, malgré les tentatives de communication sur plusieurs canaux », a déclaré Jake Knott, chercheur principal de watchTowr, dans un blog.
« Nous n’avons pas besoin de davantage de plateformes d’agents basés sur l’IA ; nous avons besoin de moins d’organisations critiques qui collent des informations d’identification sur des sites Web aléatoires », a-t-il déclaré.
Pour voir si l’exposition a été remarquée par d’autres, watchTowr a généré ses propres informations d’identification de test à extraire des sites et à les configurer dans un pot de miel pour voir si quelqu’un essayait de les utiliser.
« Et puis, la grande ‘surprise’… nous avons eu notre premier résultat, indiquant que quelqu’un fouillait dans ces ensembles de données. Nous ne sommes pas seuls – quelqu’un d’autre est déjà en train de récupérer ces sources pour obtenir des informations d’identification et de les tester activement », a déclaré Knott.
« Fonction de sauvegarde temporairement désactivée : nous arrêtons la fonction de sauvegarde pour empêcher le contenu NSFW et travaillons à l’améliorer. Nous comprenons que cela peut être gênant, mais nous prenons des mesures proactives pour garantir que notre plate-forme reste sûre et appropriée pour tous les utilisateurs. »
La fonctionnalité « Liens récents » était cependant toujours accessible sur l’un des deux, Code Beautify.
Les chercheurs de watchTowr ont le don de repérer les expositions inhabituelles. Plus tôt ce mois-ci, la société a révélé que Fortinet avait corrigé une vulnérabilité zero-day dans sa plateforme FortiWeb WAF deux semaines avant de révéler son existence aux clients.
