Aggiornamenti recenti Novembre 26th, 2025 4:07 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Codice formattato, ma migliaia di secret esposti: il problema del copia-incolla selvaggio
- Torna Shalai Ulud: centinaia di pacchetti compromessi
- DeepSeek R1 produce codice vulnerabile con prompt “politicamente sensibili”
- CERT-AGID 15–21 novembre: attacchi a università, banche e PEC
- Come Firemon supporta i propri partner nel processo di migrazione da Skybox
Codice formattato, ma migliaia di secret esposti: il problema del copia-incolla selvaggio
I ricercatori di watchTowr Labs hanno individuato migliaia di secret, chiavi di autenticazione, username e password e molti altri dati sensibili esposti sul web dopo essere stati caricati su tool di formattazione online come i noti JSONformatter e CodeBeautify.
La colpa è ovviamente di chi, per formattare velocemente il codice, lo copia e incolla su queste piattaforme, senza ragionare sul contenuto di ciò che sta condividendo. Il risultato? Un dataset di oltre 80.000 parti di JSON contenenti, tra gli altri dati, chiavi private, credenziali Active Directory, informazioni di configurazioni LDAP, credenziali FTP, token JWT di utenti amministratori, credenziali di pipeline CI/CD, richieste e risposte API complete e molti altri, compresa un’esportazione completa di tutte le credenziali dall’AWS Secret Manager.
Il problema non sta tanto nel fatto di copiare il codice e formattarlo online, ma di usare la funzionalità “Salva” dei tool che consente di generare un link condivisibile con chiunque del codice formattato; e con “chiunque” si intende, appunto, chiunque entri in possesso del link.
Generare un link valido non è così difficile: questi tool, oltre a mettere a disposizione una sezione con tutti i link salvati di recente, seguono un formato molto prevedibile per costruire gli URL; per un attaccante, è sufficiente usare uno script che visita la sezione dei link recenti, ne copia gli ID e invia una richiesta al server per ottenere i file salvati.
A rendere il tutto più preoccupante, come se non lo fosse già abbastanza, è il fatto che i dati esposti appartengono a organizzazioni di ogni settore, compreso quello delle infrastrutture critiche nazionali, il settore governativo, la sanità, il settore finanziario e il bancario.
Si parla di cinque anni di contenuti caricati su JSONformatter e un anno su CodeBeautify, per un totale di oltre 50 GB di dati JSON annotati, con migliaia di secret esposti.
Tra gli esempi di dati esposti individuati dal team di watchTowr Labs, ci sono uno script PowerShell di un ente governativo che conteneva le password in chiaro per creare account amministratore locali e chiavi di registro e una mail di onboarding caricata da un dipendente di un MSSP che conteneva le sue credenziali per l’accesso ai sistemi della società e di un loro grande cliente.ù
Digital padlock on data screen – Web and data security
È lecito chiedersi se gli attaccanti effettivamente sfruttano questi tool per cercare dati sensibili e credenziali e, nel caso, quanto di frequente. La risposta arriva sempre da watchTowr Labs: stando a un test effettuato dai ricercatori, dopo aver caricato dei falsi secret su CodeBeautify, gli attaccanti hanno cominciato a testarli per l’accesso dopo 48 ore dal salvataggio dei file. Considerando che i link sulla pagina degli URL generati di recente vengono cancellati dopo 24 ore dalla loro generazione, significa che gli attaccanti hanno immediatamente cercato e salvato le credenziali per testarle poi in un secondo momento.
Inizialmente, dopo essere stati contattati da watchTower Labs, sia JSONformatter che CodeBeautify avevano disabilitato temporaneamente la funzionalità “Recent Links”. Attualmente la sezione è tornata navigabile ed è quindi di nuovo possibile accedere ai dati salvati. A prescindere da questo, la colpa è chiaramente di chi carica e condivide dati sensibili senza pensare alle conseguenze.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato... -
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia...
-
Torna Shalai Ulud: centinaia di pacchetti compromessi I ricercatori di Wiz Threat Research e Aikido hanno... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima...
-
CERT-AGID 15–21 novembre: attacchi a università, banche... Nel periodo compreso tra il 15 e il 21 novembre,... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Ransomware: la serie
No posts found.