Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie.

Principales découvertes:

  • Types de secrets exposés: identifiants Active Directory, clés d’API, tokens GitHub, clés cloud AWS (préfixe AKIA), identifiants Docker/JFrog/Grafana, mots de passe (dont défauts), clés privées, JWT admin, configurations LDAP/CI/CD/RTSP, enregistrements SSH, et PII (jusqu’aux données KYC complètes et liens vers des vidéos d’entretien).
  • Secteurs touchés: Infrastructures critiques, gouvernement, finance/banque/assurance, cybersécurité, technologie, santé, éducation, télécoms, retail, aérospatial, voyage, etc.
  • Ampleur: environ 350 000 liens sauvegardés rien que sur JSONFormatter.org depuis l’origine; extraction facilitée par une page Recent Links et un endpoint public permettant de récupérer les contenus.

Exemples notables (redactés par la source):

  • MITRE (recherche): export de Jenkins credentials.xml (secrets chiffrés par clé maître Jenkins) liés à « MITRE CoDev ».
  • Gouvernement: blob PowerShell (1000+ lignes) décrivant installation/durcissement et déploiement d’une appli, exposant endpoints internes, noms d’utilisateurs admin, config IIS, clés de registre.
  • Datalake-as-a-Service: config cloud contenant identifiants Docker Hub, JFrog, Grafana et RDS.
  • Fournisseur cybersécurité: fichier de configuration sensible (dev/QA) avec mots de passe de clés privées SSL, credentials SPN keytab, hôtes internes/externes, chemins vers clés/certificats.
  • Banque: données KYC de clients (nom, email, adresse, téléphone, IP/ISP, lien vidéo hébergé sur le domaine de la banque).
  • Grande ESN/consulting: tokens GitHub et identifiants codés en dur, plus un mot de passe par défaut.
  • Place boursière majeure: identifiants AWS de production associés à Splunk SOAR, incluant accès à un bucket S3 contenant logique de détection et logs d’automatisation.
  • MSSP: email d’onboarding sauvegardé publiquement avec identifiants AD de l’employé et identifiants d’un client banque US (usernames, mots de passe, questions secrètes, tokens).

Méthodologie et preuve d’exploitation:

  • Utilisation des pages Recent Links et de l’endpoint public « /service/getDataFromID » pour récupérer le contenu sauvegardé; enrichissement et scanning des secrets (zgrep).
  • CanaryTokens insérés puis testés: premières activations 48 h après l’upload (soit 24 h après l’expiration programmée), indiquant que d’autres acteurs scrapent ces sources et testent les credentials.
  • watchTowr précise s’être coordonné avec des CERTs et avoir tenté de notifier les organisations concernées; seulement quelques-unes ont répondu rapidement.

IOCs et TTPs:

  • IOCs: plateformes et endpoints utilisés par les victimes pour exposer leurs données: jsonformatter.org, codebeautify.org, endpoint /service/getDataFromID; motifs de clés AWS AKIA visibles dans les fuites.
  • TTPs observés: scraping OSINT des pages « Recent Links »; récupération d’IDs et download via endpoint public; secret scanning automatisé; plantage de canary tokens et observation d’accès tardifs; exfiltration involontaire via fonctions « Save/share » d’outils en ligne; réutilisation/test de secrets par des tiers.

Cet article est une publication de recherche visant à démontrer, exemples concrets à l’appui, l’ampleur et la gravité de l’exposition de secrets via des outils publics de formatage de code, ainsi que l’existence d’une exploitation active par d’autres acteurs. 🔓

🧠 TTPs et IOCs détectés

TTP

[‘scraping OSINT des pages « Recent Links »’, ‘récupération d’IDs et download via endpoint public’, ‘secret scanning automatisé’, ‘plantage de canary tokens et observation d’accès tardifs’, ’exfiltration involontaire via fonctions « Save/share » d’outils en ligne’, ‘réutilisation/test de secrets par des tiers’]

IOC

[‘jsonformatter.org’, ‘codebeautify.org’, ‘/service/getDataFromID’, ‘motifs de clés AWS AKIA’]

🔗 Source originale : https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/