De la primele Pastebin-uri până la erorile cu bucket-uri S3, obiceiul de a păstra copii ale informațiilor sensibile pe servicii publice generează incidente recidivante: cercetătorii WatchTowr au identificat că platformele JSONFormatter și CodeBeautify au făcut publice mii de credențiale, chei de autentificare și fișiere de configurare printr-o funcționalitate accesibilă denumită Recent Links. Defectul vizează date încărcate pe serverele acestor instrumente, iar scurgerea a afectat organizații din domenii sensibile precum guvern, infrastructură critică, bănci, asigurări, aerospațial, sănătate, educație, securitate cibernetică și telecomunicații.
Investigația WatchTowr arată că Recent Links salva URL-uri unice generate la apăsarea butonului save, iar aceste linkuri erau accesibile fără nicio protecție; modul în care erau adăugate pe pagina Recent Links urma un model previzibil, permițând rularea unui crawler simplu. Folosind această metodă și apelând endpoint-ul getDataFromID, cercetătorii au colectat peste 80.000 de pastes însumând mai mult de 5 GB de date: credențiale Active Directory și alte autentificări pentru baze de date și cloud, chei private, token-uri pentru repo-uri de cod, secrete CI/CD, chei pentru gateway-uri de plată, token-uri API, înregistrări de sesiuni SSH și cantități semnificative de date cu caracter personal identificabil, inclusiv KYC. Printre cazuri concrete se numără un set de credențiale AWS folosit de un exchange internațional în automatizări Splunk SOAR, credențiale ale unei bănci găsite într-un email de onboarding al unui MSSP și informații sensibile provenite de la o firmă de securitate cibernetică: parole pentru chei private SSL, hostname-uri interne, adrese IP și căi către fișiere de configurare.
Există exemple clare care arată riscurile: un guvern a încărcat un script PowerShell de circa 1.000 de linii care configura un host, descărca instalatori, modifica valori din registru și implementa o aplicație web; chiar dacă scriptul nu conținea explicit parole, detaliile despre endpoint-uri interne, setările IIS și cheile de hardening pot facilita un atac. O firmă care oferă Data Lake-as-a-Service a publicat un fișier de configurare cloud ce conținea domenii, adrese de email, hostname-uri și credențiale pentru Docker Hub, Grafana, JFrog și RDS. Un MSSP a expus credentiale Active Directory din mediul propriu, precum și emailuri și credențiale bazate pe ID pentru o bancă americană, client descris ca fiind unul dintre cei mai promovați de MSSP.
Pentru a determina dacă atacatorii scanează deja aceste resurse, WatchTowr a folosit Canarytokens pentru a planta în paste chei AWS false, dar convingătoare, în JSON-urile salvate pe cele două platforme și a configurat linkurile să expire în 24 de ore. Log-urile honeypot au indicat accesări ale acelor chei la 48 de ore după upload, adică cu 24 de ore după ce linkurile ar fi trebuit să fi dispărut de pe site. Cercetătorii au contactat numeroase organizații afectate; unele au remediat problema, altele nu au răspuns. La descoperire, paginile Recent Links erau încă publice, permițând atacatorilor să le continue scanarea.
Din această situație reies câteva concluzii practice: uneltele aparent inofensive de formatare a codului pot păstra temporar date sensibile în mod persistent; URL-urile previzibile și lipsa autentificării crează suprafețe de atac; iar automatizarea scannerelor demonstrează că nu este suficient să setezi o expirare o singură dată și să te bazezi pe ea. Furnizorii acestor servicii trebuie să modifice setările implicite și să ofere mecanisme clare pentru expirare reală și ștergere ireversibilă a conținutului. În același timp, organizațiile trebuie să trateze paste-urile publice ca pe obiecte complet accesibile: folosiți manageri de secrete, rotiți frecvent cheile, aplicați principiul celui mai mic privilegiu și monitorizați activ accesul neobișnuit.
Expunerea a peste 80.000 de pastes și mai mult de 5 GB de date evidențiază cât de sensibile pot fi configurările implicite și obiceiurile de lucru cu fragmente de cod. Protejarea secretelor cere atât instrumente adecvate, cât și procese bine definite: utilizarea serviciilor de secret management, auditarea accesului și educația dezvoltatorilor reduc semnificativ riscul. Acțiunile automate ale scannerelor, ilustrate de accesările cheilor Canarytokens, arată că timpul până la compromitere poate fi foarte scurt și că expirările aparent automate nu sunt o soluție definitivă. Tu ce crezi că ar trebui schimbat întâi: responsabilitatea platformelor de formatare a codului sau procedurile interne ale companiilor care folosesc astfel de instrumente?
intai procedurile interne. pun gitleaks si hook pre commit.