שני כלי רשת פופולריים לעיצוב קוד שימשו בטעות כמאגר פתוח לראווה של מידע סודי ורגיש במיוחד.
חוקרי אבטחה גילו אלפי מפתחות גישה, פרטי התחברות ונתונים אישיים שנשמרו בטעות במקום ציבורי.
חברת אבטחת הסייבר watchTowr חשפה תגלית מטרידה במיוחד, שני אתרי אינטרנט נפוצים שנועדו לעזור למפתחי תוכנה לעצב ולסדר קוד (Code Formatters) חשפו בטעות אלפי פרטי התחברות (Credentials), מפתחות אימות (Authentication Keys) ומידע רגיש נוסף השייך לארגונים בעלי סיכון גבוה, כולל בנקים, גופי ממשלה ומוסדות רפואיים.
איך התרחשה הדליפה?
האתרים, JSONFormatter ו-CodeBeautify, מאפשרים למפתחים להדביק קטעי קוד כדי להפוך אותם לפורמט קריא יותר (למשל, JSON). הבעיה נוצרה כאשר המפתחים השתמשו בפונקציה של שמירת הקוד המעוצב לשימוש עתידי, מהלך שיצר קישור ציבורי ופתוח לכל לתוכן שהודבק.
מכיוון שמפתחים רבים הדביקו קטעי קוד שכללו מידע סודי הנחוץ לבדיקות או פיתוח, מידע זה נשמר בשרתים בכתובת ציבורית.
היקף הנזק והמידע שנחשף
חברת watchTowr דיווחה כי מצאה מידע רגיש שהצטבר לאורך חמש שנים ב-JSONFormatter ושנה שלמה ב-CodeBeautify.
המידע שנחשף מאפשר תקיפה ישירה של מערכות רגישות וכלל, בין היתר:
- פרטי Active Directory (מערכות אימות רשת פנימיות).
- מפתחות גישה למסדי נתונים ושירותי ענן (AWS, Azure).
- אסימוני API (API Tokens) וסודות CI/CD (לפיתוח רציף).
- פרטי התחברות לגופי תשלום (Payment Gateways).
- תיעוד הפעלות SSH (התחברות מאובטחת מרחוק).
- כמויות גדולות של מידע אישי מזהה (PII), כולל נתוני "הכר את הלקוח" (KYC).
חלק מהדליפות היו קשורות באופן ישיר לגופים רגישים, כמו פרטי התחברות שהשתייכו לבורסה בינלאומית ופרטי גישה לבנק שנחשפו מתוך אימייל של ספקית שירותי אבטחה מנוהלת (MSSP). באירוניה, אף נחשף מידע רגיש של חברת סייבר מוכרת.
אזהרה למפתחים
התקלה מדגישה את הסכנה הטמונה בשימוש בכלי עזר חיצוניים לעיבוד קוד רגיש. כלל האצבע למפתחים ומהנדסים הוא לעולם לא להדביק קוד המכיל מפתחות, סודות או פרטי התחברות כלשהם לשירותי רשת ציבוריים, גם אם מדובר בכלי תמים לכאורה שנועד רק לסדר את התצוגה.
נכון למועד פרסום הדיווח המקורי, חלק מהקישורים עם המידע הרגיש עדיין היו נגישים באופן חופשי ברשת.
