Rò Rỉ Dữ Liệu Nghiêm Trọng Qua Công Cụ Định Dạng Trực Tuyến

Các nhà phát triển đang vô tình làm lộ thông tin nhạy cảm, bao gồm mật khẩu, khóa API và dữ liệu sản xuất, khi sử dụng các công cụ định dạng trực tuyến như JSONFormatter và CodeBeautify. Nghiên cứu mới từ watchTowr đã chỉ ra rằng hàng ngàn bí mật từ các tổ chức quan trọng đã bị công khai trong nhiều năm thông qua những tiện ích tưởng chừng vô hại này, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Phát Hiện Rò Rỉ Dữ Liệu Nhạy Cảm Qua Công Cụ Định Dạng Trực Tuyến

Các trình định dạng mã và JSON trực tuyến rất phổ biến đối với các nhà phát triển. Họ sử dụng chúng để nhanh chóng sắp xếp lại dữ liệu không rõ ràng. Người dùng dán các khối JSON, tệp cấu hình hoặc script để nhận được đầu ra được định dạng gọn gàng.

Vấn đề phát sinh khi các tính năng bổ sung, như nút “Save” (Lưu), được sử dụng. Tính năng này lưu trữ dữ liệu và tạo ra một URL có thể chia sẻ.

Nhiều người dùng dường như không biết rằng nội dung của họ được lưu trữ vĩnh viễn và công khai truy cập được cho bất kỳ ai có liên kết. Hơn nữa, những liên kết này rất dễ liệt kê (enumerate).

Bằng cách thu thập dữ liệu từ các trang “Recent Links” và các điểm cuối liên quan trên JSONFormatter và CodeBeautify, watchTowr đã thu thập hơn 80.000 bản gửi JSON đã lưu trong nhiều năm.

Họ sau đó đã phân tích tập dữ liệu 5 GB này để tự động phát hiện các bí mật, thông tin xác thực và dữ liệu cá nhân.

Các Loại Thông Tin Bị Lộ Và Mức Độ Nghiêm Trọng

Kết quả phân tích rất đáng báo động, cho thấy hàng ngàn mục bị lộ. Đây là một vấn đề an ninh mạng lớn, tạo ra một nguy cơ bảo mật đáng kể cho nhiều tổ chức.

Danh sách các loại thông tin nhạy cảm bị rò rỉ:

• Thông tin xác thực Active Directory.
• Mật khẩu cơ sở dữ liệu.
• Khóa đám mây (cloud keys).
• Khóa riêng tư (private keys).
• Token API.
• Thông tin xác thực CI/CD.
• Dữ liệu phiên SSH.
• Thông tin xác thực cổng thanh toán thẻ.
• Thông tin nhận dạng cá nhân mở rộng (PII).

Dữ liệu bị lộ không chỉ đến từ các dự án nhỏ của những người có sở thích. Các nhà nghiên cứu đã tìm thấy các vụ rò rỉ dữ liệu nhạy cảm từ nhiều lĩnh vực, bao gồm hạ tầng quốc gia quan trọng, chính phủ, ngân hàng và tài chính, bảo hiểm, công nghệ, nhà cung cấp an ninh mạng, bán lẻ, hàng không vũ trụ, viễn thông, chăm sóc sức khỏe, giáo dục và du lịch.

Trong một số trường hợp, toàn bộ dữ liệu xuất bí mật từ các công cụ như AWS Secrets Manager dường như đã được dán vào các dịch vụ này.

Ví dụ cụ thể về rò rỉ:

• Thông tin xác thực Jenkins được mã hóa liên quan đến môi trường hợp tác MITRE.
• Các script triển khai PowerShell dài từ một tổ chức chính phủ.
• Các tệp cấu hình từ một nhà cung cấp “Datalake-as-a-Service” nổi tiếng chứa thông tin xác thực Docker, Grafana, JFrog và cơ sở dữ liệu.

Thậm chí, một công ty an ninh mạng được niêm yết công khai cũng bị phát hiện đã tải lên thông tin xác thực được mã hóa và chi tiết cấu hình nội bộ cho các hệ thống nhạy cảm.

Ngoài thông tin xác thực, tập dữ liệu còn chứa dữ liệu cá nhân có độ nhạy cảm cao. Trong một trường hợp, watchTowr đã xác định nhiều lần tải lên hồ sơ Know Your Customer (KYC) hoàn chỉnh cho một ngân hàng ở một quốc gia cụ thể.

Các khối JSON này bao gồm tên, địa chỉ, email, tên người dùng, số điện thoại, địa chỉ IP, ISP và URL đến các cuộc phỏng vấn video KYC đã ghi được lưu trữ trên tên miền của ngân hàng.

Nguyên Nhân Gốc Rễ Và Biện Pháp Phòng Ngừa

WatchTowr đã làm việc với các CERT quốc gia và thông báo cho các tổ chức bị ảnh hưởng khi có thể. Tuy nhiên, tỷ lệ phản hồi không đồng đều, nhiều tổ chức đã không trả lời mặc dù đã có nhiều lần liên hệ. Chi tiết nghiên cứu có thể được tìm thấy tại WatchTowr Labs.

Vấn đề cốt lõi không phải là một cuộc khai thác tinh vi mà là việc lạm dụng công cụ cơ bản. Các nhà phát triển dán dữ liệu sản xuất trực tiếp vào các trang web của bên thứ ba không đáng tin cậy. Sau đó, họ sử dụng tính năng “Save” và các liên kết chia sẻ mà không hiểu rõ về mức độ lộ thông tin.

Sự cố này nhấn mạnh sự cần thiết của các chính sách nội bộ nghiêm ngặt hơn, đào tạo nhà phát triển và quy trình làm việc an toàn hơn. Điều này là quan trọng để đảm bảo an toàn thông tin cho toàn bộ hệ thống.

Các biện pháp đề xuất bao gồm việc sử dụng các công cụ định dạng ngoại tuyến hoặc tự lưu trữ (self-hosted). Điều này giúp đảm bảo rằng các bí mật thực tế và thông tin nhận dạng cá nhân (PII) không bao giờ rời khỏi môi trường được kiểm soát.