代码美化工具泄露敏感行业企业数千密码和API密钥

研究人员通过这两款任何人可访问的服务提供的特性“最近的链接”，发现了总计5GB大小的超过8万份用户粘贴记录。其中敏感数据遭泄露的一些企业和组织机构位于高风险行业如政府、关键基础设施、银行、保险、航空、医疗、教育、网络安全和电信行业。

在线保存机密信息

外部攻击面管理公司 WatchTowr 的研究人员审计了在线平台 JSONFormatter 和 CodeBeautify 后发现，它们的“最近链接”特性提供了对JSON代码片段的访问权限，而这些代码片段正是用户为了分享目的而保存在服务器上的。

当点击“保存”按钮时，平台会生成一个指向该页面的唯一URL并将其添加到用户的“最近链接”页面，但无任何保护层，因此导致任何人均可访问其中的内容。由于“最近链接”遵循结构化、可预测的URL格式，因此可轻松通过一个简单的爬虫检索到该URL。

暴露程度

研究人员通过抓取这些公开的“最近链接”页面，并利用平台的getDataFromID API接口提取原始数据，收集了超过80000条用户粘贴记录，涵盖JSONFormatter平台五年及CodeBeautify平台一年的敏感信息。

被暴露的敏感数据类型包括：

研究人员在某网络安全公司的案例中发现了可轻松识别的"重大敏感信息”，包括"高度敏感配置文件的加密凭据"、SSL 证书私钥密码、内外网域名与 IP 地址，以及密钥/证书/配置文件的存储路径。

某政府机构的粘贴数据包含1000行 PowerShell 代码，内容涉及通过获取安装程序配置新主机："配置注册表键、强化安全配置，最终部署网络应用程序"。研究人员指出，即使脚本未包含敏感数据，其中关于内部终端节点、IIS 配置参数、强化配置及对应注册表键等情报仍具有攻击价值。

某提供数据湖即服务的技术公司暴露出云基础设施配置文件，内含域名、邮箱地址、主机名及 Docker Hub、Grafana、JFrog 和 RDS 数据库的访问凭据。

研究人员还从一家“大型金融交易所”找到了与 Splunk SOAR 自动化系统关联的有效生产环境 AWS 凭据。某托管安全服务提供商泄露其活动目录凭据，同时暴露其"规模最大、宣传力度最高的"美国银行客户的邮箱与身份凭据。

仍可公开访问，多数未修复

为验证攻击者是否持续扫描公开 JSON 数据，研究人员通过 Canarytokens 服务生成伪造但逼真的 AWS 访问密钥，将其植入 24 小时有效期的 JSON 链接中。实验结果显示：在链接失效 24 小时后（即上传 48 小时后），蜜罐系统仍记录到针对这些失效密钥的访问尝试。

截至目前，两家代码格式化平台的"最近链接"功能仍可公开访问，持续为威胁行为者提供数据搜集渠道。虽然 watchTowr 已向多家受影响组织发送预警邮件，但仅部分组织机构完成修复，多数机构尚未作出回应。