НаверхВнимание к CodeBeautify, программисты: сайты форматирования кода раскрывают ваши данные
Пользователи, загружая секреты на JSONFormatter и CodeBeautify, рискуют безопасностью — сервисы могут непреднамеренно раскрывать конфиденциальную информацию.
27.11.2025 в 00:26
00:26
Основные идеи
Функция «Недавние ссылки» раскрывает файлы с предсказуемыми URL
WatchTowr извлек данные JSONFormatter за 5 лет и CodeBeautify за 1 год
В открытых данных оказались ключи, токены API и учётные записи критически важных систем
Злоумышленники уже тестируют уязвимость для целевых атак
Мнение автора
Ого, это реально пугает! WatchTowr показал, что функция «Недавние ссылки» в JSONFormatter и CodeBeautify вываливает кучу конфиденциальных данных — от токенов API до закрытых ключей. Я бы дважды подумал, прежде чем загружать код на такие сайты. Используйте локальные инструменты или проверенные платформы с шифрованием.
Эксперты предупреждают, что некоторые из самых популярных сайтов для форматирования кода раскрывают конфиденциальную и идентифицируемую информацию. Это может поставить под угрозу множество организаций, включая государственные учреждения и объекты критической инфраструктуры.
Исследователи кибербезопасности из WatchTowr проанализировали JSONFormatter и CodeBeautify — сервисы, куда пользователи могут отправлять код или данные, чаще всего в формате JSON, для форматирования, проверки и улучшения читаемости.
Эксперты утверждают, что на этих двух сайтах есть функция «Недавние ссылки». Она автоматически выводит список последних файлов или URL-адресов, которые были отформатированы или проанализированы на платформе. Эта функция никак не защищена и использует предсказуемый формат URL, который можно использовать с поисковыми роботами.
Из-за слабой защиты и структурированного формата URL исследователям из WatchTowr удалось извлечь необработанные данные JSONFormatter за пять лет и данные CodeBeautify за целый год.
В этих данных они обнаружили всевозможную конфиденциальную информацию: учетные данные Active Directory, учетные данные для баз данных и облачных сервисов, закрытые ключи, токены репозиториев кода, секреты CI/CD, ключи платежных шлюзов, API-токены, записи сеансов SSH, персональные данные и информацию для идентификации клиентов (KYC), а также многое другое.
Компании, которые добровольно и неосознанно делились этой информацией, работают в государственном секторе, критической инфраструктуре, финансах, аэрокосмической отрасли, здравоохранении, кибербезопасности, телекоммуникациях и других сферах.
В WatchTowr также заявили, что ценность представляет даже код без конфиденциальных данных. Он часто содержит сведения о внутренних конечных точках, значениях и свойствах конфигурации IIS, а также о конфигурациях защиты с соответствующими ключами реестра. Такая информация может помочь злоумышленникам создавать целевые атаки, обходить средства безопасности или использовать неверные конфигурации.
Исследователи также заявили, что некоторые злоумышленники уже используют эту уязвимость. Они добавили на платформы поддельные ключи AWS со сроком действия 24 часа, но спустя 48 часов кто-то попытался ими воспользоваться.
«Что еще интереснее, ключи протестировали через 48 часов после нашей первоначальной загрузки, то есть через 24 часа после того, как истек срок их действия и сохраненный контент был удален», — заключили в watchTowr. Они призвали пользователей быть осторожными с тем, что они загружают.
Обзор vivo iQOO 15: новый флагман в гонке мощнейших устройств
Подпишитесь на наши новости: