کمیته رکن چهارم – پژوهشهای امنیتی جدید نشان میدهد که استفاده گسترده سازمانها از ابزارهای آنلاین محبوبی مانند JSONFormatter و CodeBeautify منجر به نشت هزاران رمز عبور و کلید API شده است. این دادهها شامل اطلاعات حساسی از نهادهای دولتی، مالی، زیرساختی و حتی شرکتهای امنیت سایبری بوده است.
به گزارش کمیته رکن چهارم، طبق اعلام watchTowr بیش از ۸۰ هزار فایل شامل دادههایی مانند نام کاربری، رمز عبور، کلیدهای احراز هویت، اطلاعات Active Directory، پیکربندی پایگاهداده، فایلهای SSH و موارد دیگر در این سایتها ذخیره شدهاند. علت اصلی نشت، قابلیت ذخیرهسازی ناامن این سایتها و نمایش عمومی لینکهای تولیدشده برای اشتراکگذاری بوده است.
تحلیلها نشان میدهد که مهاجمان با خزیدن در صفحات پیوندهای اخیر، بهآسانی به دادههای فرمتشده دسترسی یافتهاند. نمونههایی از افشای داده شامل کلید AWS یک صرافی مالی، اطلاعات Active Directory یک بانک و کلیدهای رمزنگاری شرکتهای امنیتی بوده است.
تست watchTowr نیز نشان داد که حتی کلیدهای جعلی بارگذاریشده در این سایتها طی ۴۸ ساعت مورد سوءاستفاده قرار گرفتند. هر دو سایت پس از افشای این موضوع، قابلیت ذخیرهسازی را غیرفعال کردهاند.
کارشناسان تأکید دارند که مشکل اصلی، سهلانگاری کاربران در وارد کردن اطلاعات حساس در وبسایتهای عمومی و بدون رمزگذاری است. این حادثه بار دیگر اهمیت آموزش کارکنان فناوری اطلاعات و تدوین سیاستهای ایمنسازی دادهها را گوشزد میکند.
