Zespół watchTowr Labs ujawnił, że na dwóch niezwykle popularnych stronach do formatowania kodu – JSONFormatter i CodeBeautify – od lat wyciekały prawdziwe hasła, klucze dostępowe, dane LDAP i konfiguracje. W sumie w niepowołane ręce trafiło ponad 80 tysięcy plików. Wśród nich znajdują się loginy do Active Directory, API keye, dane dostępowe do baz danych, a nawet klucze chmurowe dużych firm. Co najgorsze, część tych danych już została pobrana i testowana przez nieznanych aktorów.
80 tysięcy wycieków haseł i kluczy. Popularne narzędzia ujawniają dane rządów, banków i firm
Jak do tego doszło? Oba narzędzia działają w prosty sposób. Deweloperzy wrzucają tam fragment kodu, JSONa czy konfiguracji, żeby sprawdzić błąd formatowania. Problem w tym, że wielu z nich publikowało całe pliki z prawdziwymi sekretami z systemów produkcyjnych. Platformy te – jak się okazało – przez lata przechowywały ich historię.
I tak ekipa watchTowr odnalazła 5 GB materiałów z JSONFormatter (5 lat historii) i rok danych z CodeBeautify. Wśród ofiar znajdują się organizacje z kluczowych sektorów: rządy, banki, giełdy finansowe, telekomy, szpitale, uczelnie, firmy technologiczne, infrastruktura krytyczna, a nawet… inni dostawcy cyberbezpieczeństwa. Krótko mówiąc firmy i instytucje, wśród których wyciek wrażliwych danych powinien spowodować popłoch.
Badacze tłumaczą, że popularność narzędzi jest gigantyczna. Pojedyncze otwarcie strony generuje setki zapytań, a właściciele serwisów zarabiają na reklamach. To wystarczyło, by powstał globalny magazyn poufnych danych wrzucanych przez niczego nieświadomych pracowników.
Aby udowodnić skalę problemu, watchTowr umieściło na platformie fałszywe klucze AWS. Nie minęły dwa dni, a ktoś spróbował je wykorzystać. Oznacza to, że cyberprzestępcy doskonale o wszystkim wiedzą. Aktywnie skanują i pobierają te wycieki. Po nagłośnieniu sprawy obie strony tymczasowo wyłączyły funkcję zapisywania, deklarując prace nad „bezpieczniejszymi rozwiązaniami”.
Drugi cios: prosta luka w HashiCorp Vault sprawiała, że część systemów wpuszczała użytkowników… bez hasła
Problem nie kończy się jednak na wyciekach z narzędzi do formatowania kodu. Tego samego dnia HashiCorp ujawnił poważną lukę w oprogramowaniu Vault Terraform Provider. To z kolei narzędzie, którego firmy używają do przechowywania haseł, kluczy i innych wrażliwych danych w jednym, bezpiecznym miejscu.
Okazało się, że w wersjach v4.2.0 do v5.4.0 Vaulta domyślne ustawienie odpowiedzialne za odrzucanie pustych haseł było… wyłączone. Parametr deny_null_bind ustawiono na false, czyli „nie blokuj prób logowania bez hasła”. To tak, jakby drzwi do sejfu były teoretycznie zamknięte, ale zamek nie sprawdzał, czy ktoś w ogóle użył klucza.
Haker mógł po prostu wejść do systemu Vault bez wpisywania jakiegokolwiek hasła. A tam przechowuje się najważniejsze sekrety organizacji. Od kluczy do chmury po dane pozwalające zarządzać całymi systemami. HashiCorp wydał już poprawkę i zaleca natychmiastowe zmienienie konfiguracji.
Eksperci zwracają uwagę, że połączenie dwóch incydentów pokazuje, jak krucha potrafi być cyfrowa infrastruktura wielu organizacji.