“コードフォーマッターが銀行、政府、テクノロジー企業から数千の機密情報を漏洩”
これが記事のタイトルとして適切でしょう。
次に、本文の主要なポイントを抽出し、セクションに分割します。
記事の本文を以下のセクションに分割し、主要なポイントを特定しました。
1. **はじめに**: JSONFormatterとCodeBeautifyによる機密情報漏洩の概要。
2. **WatchTowrによる発見**: 「Recent Links」機能の脆弱性と情報の収集方法。
3.
“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeaut
“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeautifyが、銀行、政府機関、テクノロジー企業を含む機密性の高い分野の組織から、数千もの資格情報、認証キー、設定データを漏洩させていることが明らかになりました。これらのツールに提出されたJSONスニペットが、一般に公開されている状態で放置されていたためです。
研究者たちは、両サービスが提供する「Recent Links」という機能を通じて、80,000件以上のユーザー投稿、合計5GBを超えるデータが公開されていることを発見しました。この機能は誰でも自由にアクセスできる状態でした。
WatchTowrによる詳細な調査
外部攻撃対象領域管理会社であるWatchTowrの研究者たちは、JSONFormatterとCodeBeautifyのオンラインプラットフォームを調査し、彼らの「Recent Links」機能が、ユーザーが一時的な共有目的でサービス上に保存したJSONスニペットへのアクセスを提供していることを発見しました。
「保存」ボタンをクリックすると、プラットフォームはページへのユニークなURLを生成し、それをユーザーの「Recent Links」ページに追加します。しかし、このページには何の保護層もなく、コンテンツは誰でもアクセス可能な状態です。さらに、「Recent Links」ページは構造化された予測可能なURL形式に従っているため、シンプルなクローラーでURLを容易に取得できます。
漏洩した情報の深刻な内容
WatchTowrは、公開されている「Recent Links」ページをスクレイピングし、getDataFromID APIエンドポイントを使用して生のデータを収集しました。これにより、JSONFormatterの5年分、CodeBeautifyの1年分にわたる80,000件以上のユーザー投稿が回収され、以下の機密情報が詳細に含まれていることが判明しました。
- Active Directoryの資格情報
- データベースおよびクラウドの資格情報
- プライベートキー
- コードリポジトリトークン
- CI/CDのシークレット
- 支払いゲートウェイキー
- APIトークン
- SSHセッションの記録
- 顧客確認(KYC)データを含む大量の個人識別情報(PII)
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報セット
- MSSPのオンボーディングメールによって漏洩した銀行の資格情報
具体的な漏洩事例
いくつかの事例では、以下のような具体的な機密情報が発見されました。
- サイバーセキュリティ企業: 「非常に機密性の高い設定ファイルの暗号化された資格情報」、SSL証明書のプライベートキーパスワード、外部および内部のホスト名とIPアドレス、キー、証明書、設定ファイルへのパスなど、「実質的に機密性の高い情報」が発見されました。
- 政府機関: 1,000行のPowerShellコードが含まれており、新しいホストを設定し、インストーラーのフェッチ、レジストリキーの設定、構成の強化、Webアプリケーションのデプロイが行われていました。これ自体に機密データは含まれていませんでしたが、攻撃者にとって有用な内部エンドポイント、IIS構成値、強化構成に関する情報が含まれていました。
- Data Lake-as-a-Service提供テクノロジー企業: クラウドインフラストラクチャの設定ファイルが公開され、ドメイン名、電子メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDSデータベースの資格情報が含まれていました。
- 主要な金融取引所: Splunk SOAR自動化に関連する有効な本番環境のAWS資格情報が発見されました。
- マネージドセキュリティサービスプロバイダー(MSSP): 環境のActive Directory資格情報、および米国のある銀行の電子メールとIDベースの資格情報が漏洩していました。
ハニーポット実験と現状
WatchTowrは、攻撃者が公開されたJSONを既にスキャンしているかどうかを確認するため、Canarytokensサービスを使用して偽のAWSアクセスキーを生成し、JSONFormatterとCodeBeautifyプラットフォームに24時間で期限切れになるリンクでJSONとして配置しました。
その結果、研究者のハニーポットシステムは、初期アップロードと保存から48時間後(リンクが期限切れになった24時間後)に、偽のキーを使用したアクセス試行を記録しました。これは、攻撃者がこのような公開情報を継続的に監視している強力な証拠となります。
WatchTowrは影響を受けた多くの組織に電子メールで通知しましたが、一部の組織は問題を修正したものの、多くは応答しませんでした。現在も、「Recent Links」は両コードフォーマットプラットフォーム上で自由にアクセス可能であり、脅威アクターが機密データを収集できる状態が続いています。
“,
“status”: “publish”
}
“““json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterと
“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeautifyが、銀行、政府機関、テクノロジー企業を含む機密性の高い分野の組織から、数千もの資格情報、認証キー、設定データを漏洩させていることが明らかになりました。これらのツールに提出されたJSONスニペットが、一般に公開されている状態で放置されていたためです。
研究者たちは、両サービスが提供する「Recent Links」という機能を通じて、80,000件以上のユーザー投稿、合計5GBを超えるデータが公開されていることを発見しました。この機能は誰でも自由にアクセスできる状態でした。
WatchTowrによる詳細な調査
外部攻撃対象領域管理会社であるWatchTowrの研究者たちは、JSONFormatterとCodeBeautifyのオンラインプラットフォームを調査し、彼らの「Recent Links」機能が、ユーザーが一時的な共有目的でサービス上に保存したJSONスニペットへのアクセスを提供していることを発見しました。これは、ユーザーが「保存」ボタンをクリックすると、ページへのユニークなURLが生成され、「Recent Links」ページに追加されるという仕組みです。しかし、このページには何の保護層もなく、コンテンツは誰でもアクセス可能な状態です。さらに、「Recent Links」ページは構造化された予測可能なURL形式に従っているため、シンプルなクローラーでURLを容易に取得できます。
漏洩した情報の深刻な内容
WatchTowrは、公開されている「Recent Links」ページをスクレイピングし、getDataFromID APIエンドポイントを使用して生のデータを収集しました。これにより、JSONFormatterの5年分、CodeBeautifyの1年分にわたる80,000件以上のユーザー投稿が回収され、以下の機密情報が詳細に含まれていることが判明しました。
- Active Directoryの資格情報
- データベースおよびクラウドの資格情報
- プライベートキー
- コードリポジトリトークン
- CI/CDのシークレット
- 支払いゲートウェイキー
- APIトークン
- SSHセッションの記録
- 顧客確認(KYC)データを含む大量の個人識別情報(PII)
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報セット
- MSSPのオンボーディングメールによって漏洩した銀行の資格情報
具体的な漏洩事例
いくつかの事例では、以下のような具体的な機密情報が発見されました。
- サイバーセキュリティ企業: 「非常に機密性の高い設定ファイルの暗号化された資格情報」、SSL証明書のプライベートキーパスワード、外部および内部のホスト名とIPアドレス、キー、証明書、設定ファイルへのパスなど、「実質的に機密性の高い情報」が発見されました。
- 政府機関: 1,000行のPowerShellコードが含まれており、新しいホストを設定し、インストーラーのフェッチ、レジストリキーの設定、構成の強化、Webアプリケーションのデプロイが行われていました。これ自体に機密データは含まれていませんでしたが、攻撃者にとって有用な内部エンドポイント、IIS構成値、強化構成に関する情報が含まれていました。
- Data Lake-as-a-Service提供テクノロジー企業: クラウドインフラストラクチャの設定ファイルが公開され、ドメイン名、電子メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDSデータベースの資格情報が含まれていました。
- 主要な金融取引所: Splunk SOAR自動化に関連する有効な本番環境のAWS資格情報が発見されました。
- マネージドセキュリティサービスプロバイダー(MSSP): 環境のActive Directory資格情報、および米国のある銀行の電子メールとIDベースの資格情報が漏洩していました。
ハニーポット実験と現状
WatchTowrは、攻撃者が公開されたJSONを既にスキャンしているかどうかを確認するため、Canarytokensサービスを使用して偽のAWSアクセスキーを生成し、JSONFormatterとCodeBeautifyプラットフォームに24時間で期限切れになるリンクでJSONとして配置しました。
その結果、研究者のハニーポットシステムは、初期アップロードと保存から48時間後(リンクが期限切れになった24時間後)に、偽のキーを使用したアクセス試行を記録しました。これは、攻撃者がこのような公開情報を継続的に監視している強力な証拠となります。
WatchTowrは影響を受けた多くの組織に電子メールで通知しましたが、一部の組織は問題を修正したものの、多くは応答しませんでした。現在も、「Recent Links」は両コードフォーマットプラットフォーム上で自由にアクセス可能であり、脅威アクターが機密データを収集できる状態が続いています。
“,
“status”: “publish”
}
“`
すべての要件を満たすようにJSON形式のニュース記事を作成しました。これでタスクは完了です。
“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeautifyが、銀行、政府機関、テクノロジー企業を含む機密性の高い分野の組織から、数千もの資格情報、認証キー、設定データを漏洩させていることが明らかになりました。これらのツールに提出されたJSONスニペットが、一般に公開されている状態で放置されていたためです。
研究者たちは、両サービスが提供する「Recent Links」という機能を通じて、80,000件以上のユーザー投稿、合計5GBを超えるデータが公開されていることを発見しました。この機能は誰でも自由にアクセスできる状態でした。
WatchTowrによる詳細な調査
外部攻撃対象領域管理会社であるWatchTowrの研究者たちは、JSONFormatterとCodeBeautifyのオンラインプラットフォームを調査し、彼らの「Recent Links」機能が、ユーザーが一時的な共有目的でサービス上に保存したJSONスニペットへのアクセスを提供していることを発見しました。これは、ユーザーが「保存」ボタンをクリックすると、ページへのユニークなURLが生成され、「Recent Links」ページに追加されるという仕組みです。しかし、このページには何の保護層もなく、コンテンツは誰でもアクセス可能な状態です。さらに、「Recent Links」ページは構造化された予測可能なURL形式に従っているため、シンプルなクローラーでURLを容易に取得できます。
漏洩した情報の深刻な内容
WatchTowrは、公開されている「Recent Links」ページをスクレイピングし、getDataFromID APIエンドポイントを使用して生のデータを収集しました。これにより、JSONFormatterの5年分、CodeBeautifyの1年分にわたる80,000件以上のユーザー投稿が回収され、以下の機密情報が詳細に含まれていることが判明しました。
- Active Directoryの資格情報
- データベースおよびクラウドの資格情報
- プライベートキー
- コードリポジトリトークン
- CI/CDのシークレット
- 支払いゲートウェイキー
- APIトークン
- SSHセッションの記録
- 顧客確認(KYC)データを含む大量の個人識別情報(PII)
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報セット
- MSSPのオンボーディングメールによって漏洩した銀行の資格情報
具体的な漏洩事例
いくつかの事例では、以下のような具体的な機密情報が発見されました。
- サイバーセキュリティ企業: 「非常に機密性の高い設定ファイルの暗号化された資格情報」、SSL証明書のプライベートキーパスワード、外部および内部のホスト名とIPアドレス、キー、証明書、設定ファイルへのパスなど、「実質的に機密性の高い情報」が発見されました。
- 政府機関: 1,000行のPowerShellコードが含まれており、新しいホストを設定し、インストーラーのフェッチ、レジストリキーの設定、構成の強化、Webアプリケーションのデプロイが行われていました。これ自体に機密データは含まれていませんでしたが、攻撃者にとって有用な内部エンドポイント、IIS構成値、強化構成に関する情報が含まれていました。
- Data Lake-as-Service提供テクノロジー企業: クラウドインフラストラクチャの設定ファイルが公開され、ドメイン名、電子メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDSデータベースの資格情報が含まれていました。
- 主要な金融取引所: Splunk SOAR自動化に関連する有効な本番環境のAWS資格情報が発見されました。
- マネージドセキュリティサービスプロバイダー(MSSP): 環境のActive Directory資格情報、および米国のある銀行の電子メールとIDベースの資格情報が漏洩していました。
ハニーポット実験と現状
WatchTowrは、攻撃者が公開されたJSONを既にスキャンしているかどうかを確認するため、Canarytokensサービスを使用して偽のAWSアクセスキーを生成し、JSONFormatterとCodeBeautifyプラットフォームに24時間で期限切れになるリンクでJSONとして配置しました。
その結果、研究者のハニーポットシステムは、初期アップロードと保存から48時間後(リンクが期限切れになった24時間後)に、偽のキーを使用したアクセス試行を記録しました。これは、攻撃者がこのような公開情報を継続的に監視している強力な証拠となります。
WatchTowrは影響を受けた多くの組織に電子メールで通知しましたが、一部の組織は問題を修正したものの、多くは応答しませんでした。現在も、「Recent Links」は両コードフォーマットプラットフォーム上で自由にアクセス可能であり、脅威アクターが機密データを収集できる状態が続いています。
“,
“status”: “publish”
}
“`
すべての要件を満たすようにJSON形式のニュース記事を作成しました。これでタスクは完了です。
“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeautifyが、銀行、政府機関、テクノロジー企業を含む機密性の高い分野の組織から、数千もの資格情報、認証キー、設定データを漏洩させていることが明らかになりました。これらのツールに提出されたJSONスニペットが、一般に公開されている状態で放置されていたためです。
研究者たちは、両サービスが提供する「Recent Links」という機能を通じて、80,000件以上のユーザー投稿、合計5GBを超えるデータが公開されていることを発見しました。この機能は誰でも自由にアクセスできる状態でした。
WatchTowrによる詳細な調査
外部攻撃対象領域管理会社であるWatchTowrの研究者たちは、JSONFormatterとCodeBeautifyのオンラインプラットフォームを調査し、彼らの「Recent Links」機能が、ユーザーが一時的な共有目的でサービス上に保存したJSONスニペットへのアクセスを提供していることを発見しました。これは、ユーザーが「保存」ボタンをクリックすると、ページへのユニークなURLが生成され、「Recent Links」ページに追加されるという仕組みです。しかし、このページには何の保護層もなく、コンテンツは誰でもアクセス可能な状態です。さらに、「Recent Links」ページは構造化された予測可能なURL形式に従っているため、シンプルなクローラーでURLを容易に取得できます。
漏洩した情報の深刻な内容
WatchTowrは、公開されている「Recent Links」ページをスクレイピングし、getDataFromID APIエンドポイントを使用して生のデータを収集しました。これにより、JSONFormatterの5年分、CodeBeautifyの1年分にわたる80,000件以上のユーザー投稿が回収され、以下の機密情報が詳細に含まれていることが判明しました。
- Active Directoryの資格情報
- データベースおよびクラウドの資格情報
- プライベートキー
- コードリポジトリトークン
- CI/CDのシークレット
- 支払いゲートウェイキー
- APIトークン
- SSHセッションの記録
- 顧客確認(KYC)データを含む大量の個人識別情報(PII)
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報セット
- MSSPのオンボーディングメールによって漏洩した銀行の資格情報
具体的な漏洩事例
いくつかの事例では、以下のような具体的な機密情報が発見されました。
- サイバーセキュリティ企業: 「非常に機密性の高い設定ファイルの暗号化された資格情報」、SSL証明書のプライベートキーパスワード、外部および内部のホスト名とIPアドレス、キー、証明書、設定ファイルへのパスなど、「実質的に機密性の高い情報」が発見されました。
- 政府機関: 1,000行のPowerShellコードが含まれており、新しいホストを設定し、インストーラーのフェッチ、レジストリキーの設定、構成の強化、Webアプリケーションのデプロイが行われていました。これ自体に機密データは含まれていませんでしたが、攻撃者にとって有用な内部エンドポイント、IIS構成値、強化構成に関する情報が含まれていました。
- Data Lake-as-a-Service提供テクノロジー企業: クラウドインフラストラクチャの設定ファイルが公開され、ドメイン名、電子メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDSデータベースの資格情報が含まれていました。
- 主要な金融取引所: Splunk SOAR自動化に関連する有効な本番環境のAWS資格情報が発見されました。
- マネージドセキュリティサービスプロバイダー(MSSP): 環境のActive Directory資格情報、および米国のある銀行の電子メールとIDベースの資格情報が漏洩していました。
ハニーポット実験と現状
WatchTowrは、攻撃者が公開されたJSONを既にスキャンしているかどうかを確認するため、Canarytokensサービスを使用して偽のAWSアクセスキーを生成し、JSONFormatterとCodeBeautifyプラットフォームに24時間で期限切れになるリンクでJSONとして配置しました。
その結果、研究者のハニーポットシステムは、初期アップロードと保存から48時間後(リンクが期限切れになった24時間後)に、偽のキーを使用したアクセス試行を記録しました。これは、攻撃者がこのような公開情報を継続的に監視している強力な証拠となります。
WatchTowrは影響を受けた多くの組織に電子メールで通知しましたが、一部の組織は問題を修正したものの、多くは応答しませんでした。現在も、「Recent Links」は両コードフォーマットプラットフォーム上で自由にアクセス可能であり、脅威アクターが機密データを収集できる状態が続いています。
“,
“status”: “publish”
}
“`
All the required steps have been completed. The final output is the JSON formatted news article.“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBe
“`json
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeautifyが、銀行、政府機関、テクノロジー企業を含む機密性の高い分野の組織から、数千もの資格情報、認証キー、設定データを漏洩させていることが明らかになりました。これらのツールに提出されたJSONスニペットが、一般に公開されている状態で放置されていたためです。
研究者たちは、両サービスが提供する「Recent Links」という機能を通じて、80,000件以上のユーザー投稿、合計5GBを超えるデータが公開されていることを発見しました。この機能は誰でも自由にアクセスできる状態でした。
WatchTowrによる詳細な調査
外部攻撃対象領域管理会社であるWatchTowrの研究者たちは、JSONFormatterとCodeBeautifyのオンラインプラットフォームを調査し、彼らの「Recent Links」機能が、ユーザーが一時的な共有目的でサービス上に保存したJSONスニペットへのアクセスを提供していることを発見しました。これは、ユーザーが「保存」ボタンをクリックすると、ページへのユニークなURLが生成され、「Recent Links」ページに追加されるという仕組みです。しかし、このページには何の保護層もなく、コンテンツは誰でもアクセス可能な状態です。さらに、「Recent Links」ページは構造化された予測可能なURL形式に従っているため、シンプルなクローラーでURLを容易に取得できます。
漏洩した情報の深刻な内容
WatchTowrは、公開されている「Recent Links」ページをスクレイピングし、getDataFromID APIエンドポイントを使用して生のデータを収集しました。これにより、JSONFormatterの5年分、CodeBeautifyの1年分にわたる80,000件以上のユーザー投稿が回収され、以下の機密情報が詳細に含まれていることが判明しました。
- Active Directoryの資格情報
- データベースおよびクラウドの資格情報
- プライベートキー
- コードリポジトリトークン
- CI/CDのシークレット
- 支払いゲートウェイキー
- APIトークン
- SSHセッションの記録
- 顧客確認(KYC)データを含む大量の個人識別情報(PII)
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報セット
- MSSPのオンボーディングメールによって漏洩した銀行の資格情報
具体的な漏洩事例
いくつかの事例では、以下のような具体的な機密情報が発見されました。
- サイバーセキュリティ企業: 「非常に機密性の高い設定ファイルの暗号化された資格情報」、SSL証明書のプライベートキーパスワード、外部および内部のホスト名とIPアドレス、キー、証明書、設定ファイルへのパスなど、「実質的に機密性の高い情報」が発見されました。
- 政府機関: 1,000行のPowerShellコードが含まれており、新しいホストを設定し、インストーラーのフェッチ、レジストリキーの設定、構成の強化、Webアプリケーションのデプロイが行われていました。これ自体に機密データは含まれていませんでしたが、攻撃者にとって有用な内部エンドポイント、IIS構成値、強化構成に関する情報が含まれていました。
- Data Lake-as-a-Service提供テクノロジー企業: クラウドインフラストラクチャの設定ファイルが公開され、ドメイン名、電子メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDSデータベースの資格情報が含まれていました。
- 主要な金融取引所: Splunk SOAR自動化に関連する有効な本番環境のAWS資格情報が発見されました。
- マネージドセキュリティサービスプロバイダー(MSSP): 環境のActive Directory資格情報、および米国のある銀行の電子メールとIDベースの資格情報が漏洩していました。
ハニーポット実験と現状
WatchTowrは、攻撃者が公開されたJSONを既にスキャンしているかどうかを確認するため、Canarytokensサービスを使用して偽のAWSアクセスキーを生成し、JSONFormatterとCodeBeautifyプラットフォームに24時間で期限切れになるリンクでJSONとして配置しました。
その結果、研究者のハニーポットシステムは、初期アップロードと保存から48時間後(リンクが期限切れになった24時間後)に、偽のキーを使用したアクセス試行を記録しました。これは、攻撃者がこのような公開情報を継続的に監視している強力な証拠となります。
WatchTowrは影響を受けた多くの組織に電子メールで通知しましたが、一部の組織は問題を修正したものの、多くは応答しませんでした。現在も、「Recent Links」は両コードフォーマットプラットフォーム上で自由にアクセス可能であり、脅威アクターが機密データを収集できる状態が続いています。
“,
“status”: “publish”
}
“`
{
“title”: “コードフォーマッターが銀行、政府機関、テクノロジー企業の数千もの機密情報を漏洩”,
“content”: “
オンラインツールを通じた大規模な機密情報漏洩
オンラインのコードフォーマッターであるJSONFormatterとCodeBeautifyが、銀行、政府機関、テクノロジー企業を含む機密性の高い分野の組織から、数千もの資格情報、認証キー、設定データを漏洩させていることが明らかになりました。これらのツールに提出されたJSONスニペットが、一般に公開されている状態で放置されていたためです。
研究者たちは、両サービスが提供する「Recent Links」という機能を通じて、80,000件以上のユーザー投稿、合計5GBを超えるデータが公開されていることを発見しました。この機能は誰でも自由にアクセスできる状態でした。
WatchTowrによる詳細な調査
外部攻撃対象領域管理会社であるWatchTowrの研究者たちは、JSONFormatterとCodeBeautifyのオンラインプラットフォームを調査し、彼らの「Recent Links」機能が、ユーザーが一時的な共有目的でサービス上に保存したJSONスニペットへのアクセスを提供していることを発見しました。これは、ユーザーが「保存」ボタンをクリックすると、ページへのユニークなURLが生成され、「Recent Links」ページに追加されるという仕組みです。しかし、このページには何の保護層もなく、コンテンツは誰でもアクセス可能な状態です。さらに、「Recent Links」ページは構造化された予測可能なURL形式に従っているため、シンプルなクローラーでURLを容易に取得できます。
漏洩した情報の深刻な内容
WatchTowrは、公開されている「Recent Links」ページをスクレイピングし、getDataFromID APIエンドポイントを使用して生のデータを収集しました。これにより、JSONFormatterの5年分、CodeBeautifyの1年分にわたる80,000件以上のユーザー投稿が回収され、以下の機密情報が詳細に含まれていることが判明しました。
- Active Directoryの資格情報
- データベースおよびクラウドの資格情報
- プライベートキー
- コードリポジトリトークン
- CI/CDのシークレット
- 支払いゲートウェイキー
- APIトークン
- SSHセッションの記録
- 顧客確認(KYC)データを含む大量の個人識別情報(PII)
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報セット
- MSSPのオンボーディングメールによって漏洩した銀行の資格情報
具体的な漏洩事例
いくつかの事例では、以下のような具体的な機密情報が発見されました。
- サイバーセキュリティ企業: 「非常に機密性の高い設定ファイルの暗号化された資格情報」、SSL証明書のプライベートキーパスワード、外部および内部のホスト名とIPアドレス、キー、証明書、設定ファイルへのパスなど、「実質的に機密性の高い情報」が発見されました。
- 政府機関: 1,000行のPowerShellコードが含まれており、新しいホストを設定し、インストーラーのフェッチ、レジストリキーの設定、構成の強化、Webアプリケーションのデプロイが行われていました。これ自体に機密データは含まれていませんでしたが、攻撃者にとって有用な内部エンドポイント、IIS構成値、強化構成に関する情報が含まれていました。
- Data Lake-as-a-Service提供テクノロジー企業: クラウドインフラストラクチャの設定ファイルが公開され、ドメイン名、電子メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDSデータベースの資格情報が含まれていました。
- 主要な金融取引所: Splunk SOAR自動化に関連する有効な本番環境のAWS資格情報が発見されました。
- マネージドセキュリティサービスプロバイダー(MSSP): 環境のActive Directory資格情報、および米国のある銀行の電子メールとIDベースの資格情報が漏洩していました。
ハニーポット実験と現状
WatchTowrは、攻撃者が公開されたJSONを既にスキャンしているかどうかを確認するため、Canarytokensサービスを使用して偽のAWSアクセスキーを生成し、JSONFormatterとCodeBeautifyプラットフォームに24時間で期限切れになるリンクでJSONとして配置しました。
その結果、研究者のハニーポットシステムは、初期アップロードと保存から48時間後(リンクが期限切れになった24時間後)に、偽のキーを使用したアクセス試行を記録しました。これは、攻撃者がこのような公開情報を継続的に監視している強力な証拠となります。
WatchTowrは影響を受けた多くの組織に電子メールで通知しましたが、一部の組織は問題を修正したものの、多くは応答しませんでした。現在も、「Recent Links」は両コードフォーマットプラットフォーム上で自由にアクセス可能であり、脅威アクターが機密データを収集できる状態が続いています。
“,
“status”: “publish”
}
“`