Codice formattato, ma migliaia di secret esposti: il problema del copia-incolla selvaggio

Nov 26, 2025 Marina Londei Approfondimenti, Gestione dati, Gestione dati, In evidenza, Leaks, Leaks, Minacce, Minacce, News, RSS 0

I ricercatori di watchTowr Labs hanno individuato migliaia di secret, chiavi di autenticazione, username e password e molti altri dati sensibili esposti sul web dopo essere stati caricati su tool di formattazione online come i noti JSONformatter e CodeBeautify.

La colpa è ovviamente di chi, per formattare velocemente il codice, lo copia e incolla su queste piattaforme, senza ragionare sul contenuto di ciò che sta condividendo. Il risultato? Un dataset di oltre 80.000 parti di JSON contenenti, tra gli altri dati, chiavi private, credenziali Active Directory, informazioni di configurazioni LDAP, credenziali FTP, token JWT di utenti amministratori, credenziali di pipeline CI/CD, richieste e risposte API complete e molti altri, compresa un’esportazione completa di tutte le credenziali dall’AWS Secret Manager.

Il problema non sta tanto nel fatto di copiare il codice e formattarlo online, ma di usare la funzionalità “Salva” dei tool che consente di generare un link condivisibile con chiunque del codice formattato; e con “chiunque” si intende, appunto, chiunque entri in possesso del link.

Generare un link valido non è così difficile: questi tool, oltre a mettere a disposizione una sezione con tutti i link salvati di recente, seguono un formato molto prevedibile per costruire gli URL; per un attaccante, è sufficiente usare uno script che visita la sezione dei link recenti, ne copia gli ID e invia una richiesta al server per ottenere i file salvati.

A rendere il tutto più preoccupante, come se non lo fosse già abbastanza, è il fatto che i dati esposti appartengono a organizzazioni di ogni settore, compreso quello delle infrastrutture critiche nazionali, il settore governativo, la sanità, il settore finanziario e il bancario.

Si parla di cinque anni di contenuti caricati su JSONformatter e un anno su CodeBeautify, per un totale di oltre 50 GB di dati JSON annotati, con migliaia di secret esposti.

Tra gli esempi di dati esposti individuati dal team di watchTowr Labs, ci sono uno script PowerShell di un ente governativo che conteneva le password in chiaro per creare account amministratore locali e chiavi di registro e una mail di onboarding caricata da un dipendente di un MSSP che conteneva le sue credenziali per l’accesso ai sistemi della società e di un loro grande cliente.ù

Digital padlock on data screen – Web and data security

È lecito chiedersi se gli attaccanti effettivamente sfruttano questi tool per cercare dati sensibili e credenziali e, nel caso, quanto di frequente. La risposta arriva sempre da watchTowr Labs: stando a un test effettuato dai ricercatori, dopo aver caricato dei falsi secret su CodeBeautify, gli attaccanti hanno cominciato a testarli per l’accesso dopo 48 ore dal salvataggio dei file. Considerando che i link sulla pagina degli URL generati di recente vengono cancellati dopo 24 ore dalla loro generazione, significa che gli attaccanti hanno immediatamente cercato e salvato le credenziali per testarle poi in un secondo momento.

Inizialmente, dopo essere stati contattati da watchTower Labs, sia JSONformatter che CodeBeautify avevano disabilitato temporaneamente la funzionalità “Recent Links”. Attualmente la sezione è tornata navigabile ed è quindi di nuovo possibile accedere ai dati salvati. A prescindere da questo, la colpa è chiaramente di chi carica e condivide dati sensibili senza pensare alle conseguenze.

Condividi l'articolo