兩個全球常用的程式碼輔助網站被爆出重大資安漏洞,大量來自多國政府、銀行、醫療等高風險產業的登入憑證、私鑰與驗證金鑰遭到外洩,且連結至今仍完全公開可見,引發國際資安圈高度警戒。
據國際資安媒體《Bleeping Computer》報導,資安公司 watchTowr 近期發現,JSONFormatter 與 CodeBeautify 兩個工具網站存在嚴重風險,使用者在整理程式碼後若選擇儲存結果,網站會產生可分享連結,但這些連結內含的所有內容完全未受保護,任何人都能開啟查看。
由於開發者經常在測試或排錯過程貼入含有 API key、Token 或驗證資訊的程式碼,因此這些連結成為高度敏感資訊的公開展示櫃。watchTowr 指出,其調查中發現:
- 超過五年的 JSONFormatter 外洩紀錄
- 一年份的 CodeBeautify 外洩紀錄
內容涵蓋所有開發環境中最敏感的機密資訊,包括:
- Active Directory 登入憑證
- 資料庫與雲端平台帳密
- 私鑰與 API Token
- 程式碼庫(Git)權杖
- CI/CD Pipeline 機密
- 金流與支付閘道金鑰
- SSH 工作階段錄影檔
- 大量個資(PII),包括 KYC(認識你的客戶)資料
其中甚至包含一組國際證券交易所 Splunk SOAR 系統所使用的 AWS 憑證,以及某銀行在託管安全服務供應商(MSSP)啟用流程 email 中外洩的帳密。watchTowr 也坦言,外洩資料內竟也包含「某家容易識別的資安公司自身的敏感資訊」,可見風險高度普遍。
更令人憂心的是,截至目前為止,這些公共連結仍可在兩個平台上自由存取,顯示問題尚未獲得妥善處理。
資安專家指出,此事件暴露開發者常見的錯誤習慣,將含有機密資訊的程式碼直接貼上第三方網站進行格式化,卻忽略平台是否會保存內容或產生持久性連結。若這些連結被搜尋引擎收錄,更可能被惡意掃描工具大量撈取,風險難以估計。
專家建議企業應立即:
- 檢查是否使用過相關工具並儘速更換所有憑證與金鑰。
- 替代使用本機工具或信任度較高的 IDE 內建功能。
- 建立開發人員資安教育,避免將敏感程式片段貼到公開網站。
此次事件再次凸顯開發環境中隱性風險的嚴重性,即便不是遭遇駭客攻擊,只要錯誤操作加上平台設計不慎,就可能導致企業最核心的機密完全曝光。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
