Una nueva investigación ha revelado que organizaciones de sectores sensibles, como gobiernos, telecomunicaciones e infraestructura crítica, están exponiendo contraseñas y credenciales al pegarlas en herramientas online de formato y validación de código como JSONformatter y CodeBeautify.
La compañía de ciberseguridad watchTowr Labs capturó un conjunto de datos de más de 80,000 archivos de estos sitios, descubriendo miles de nombres de usuario, contraseñas, claves de autenticación de repositorios, credenciales de Active Directory, credenciales de bases de datos, claves de entorno cloud, información de configuración LDAP y claves de API.
Alcance de la Fuga de Datos
El análisis de watchTowr Labs reveló que la información expuesta abarcaba contenido histórico de cinco años de JSONFormatter y un año de CodeBeautify, totalizando más de 5GB de datos JSON enriquecidos y anotados.
Las organizaciones afectadas por esta fuga de datos operan en sectores críticos como:
- Infraestructura crítica nacional
- Gobierno
- Finanzas, seguros y banca
- Tecnología y telecomunicaciones
- Sanidad y educación
- Incluso empresas de ciberseguridad
El Mecanismo de la Exposición
El problema radica en que estas herramientas online, populares para desarrolladores y administradores, permiten guardar la estructura JSON o el código formateado, creando un enlace compartible. La investigación de watchTowr Labs encontró que los sitios no solo listan los enlaces guardados recientemente, sino que también utilizan un formato de URL predecible. Esto facilita que un actor malicioso rastree y extraiga todos los datos guardados mediante un simple crawler.
Algunos ejemplos de información filtrada incluyen:
- Secretos de Jenkins.
- Credenciales cifradas de una empresa de ciberseguridad.
- Información de “Conozca a su Cliente” (KYC) de un banco.
- Credenciales de AWS de un importante intercambio financiero vinculadas a Splunk.
- Credenciales de Active Directory de un banco.
Explotación Confirmada por Actores Maliciosos
Para confirmar el riesgo, watchTowr Labs subió claves de acceso AWS falsas a una de estas herramientas. En solo 48 horas, detectaron intentos de abuso de estas claves por parte de actores maliciosos. Esto demuestra que la información valiosa expuesta en estas fuentes está siendo activamente rastreada y probada por terceros.
El investigador de seguridad Jake Knott, de watchTowr Labs, comentó: “Esto es realmente, realmente estúpido. No necesitamos más plataformas de agentes impulsados por IA; necesitamos menos organizaciones críticas pegando credenciales en sitios web aleatorios”.
Respuesta de los Proveedores de Herramientas
Tras la investigación, JSONFormatter y CodeBeautify deshabilitaron temporalmente la funcionalidad de guardar, alegando que estaban “trabajando para mejorarla” e implementando medidas de prevención de contenido “no seguro para el trabajo”. watchTowr sospecha que este cambio se produjo en septiembre en respuesta a la comunicación con varias organizaciones afectadas a las que alertaron.
Conclusiones
La investigación subraya un fallo fundamental en la higiene de seguridad de las organizaciones. La confianza en herramientas online no verificadas para manipular datos sensibles crea un punto de fuga de información crítica que los atacantes están explotando activamente. Este incidente sirve como un recordatorio crucial de la importancia de implementar políticas estrictas sobre el manejo de credenciales y la concienciación del personal para evitar prácticas que comprometan la seguridad de la información.
Referencias
- Reporte de watchTowr Labs sobre JSONformatter y CodeBeautify (mencionado en el artículo)
- The Hacker News (fuente de la noticia)