Как утечки данных происходят через популярные онлайн-инструменты разработчиков

По данным Helpnetsecurity, специалисты из компании WatchTowr выявили уязвимость у популярных веб-сервисов форматирования кода JSONFormatter и CodeBeautify, которые используются разработчиками для упрощения чтения и проверки структуры данных. При этом сервисы, как оказалось, сохраняют и публично выставляют веб-ссылки на введённые пользователем данные, включая конфиденциальную информацию.

Результаты исследований показали, что через такие ссылки можно получить доступ к AWS-токенам, GitHub-токенам, API-ключам, SSH-сессиям, конфигурационным файлам, личным данным и другим чувствительным сведениям. В общей сложности было выявлено более 80 000 записей, в том числе с участием организаций из таких отраслей, как государственное управление, банковский сектор, здравоохранение, транспортные коммуникации, аэрокосмическая промышленность, образование и даже кибербезопасность.

WatchTowr также провела эксперимент с использованием canary tokens — специальных маркеров, которые сигнализируют, когда данные были использованы. Уже через 48 часов после публикации одного из таких маркеров на CodeBeautify, злоумышленник попытался использовать соответствующий ключ AWS. Это подтверждает, что данные действительно находятся в зоне риска.

Уведомления о выявленной утечке были направлены нескольким организациям, но лишь небольшое число из них ответило. На текущий момент функция сохранения данных на JSONFormatter временно отключена, но аналогичная функциональность доступна на CodeBeautify, а также на других подобных сервисах, которые могут содержать те же уязвимости.

Интересно: Как минимизировать риски утечки данных, если даже вспомогательные онлайн-инструменты становятся потенциальными векторами угроз?

i

Создано специально для ASECTOR

Концептуальное изображение

Когда помощь становится угрозой

Разработчики, как и другие профессионалы, полагаются на инструменты, которые облегчают повседневную работу. Но чем удобнее инструмент, тем больше доверия к нему — и тем сильнее риск, если он окажется ненадежным. В случае с веб-сервисами вроде JSONFormatter и CodeBeautify проблема не в их функциональности, а в том, как они обрабатывают данные пользователей.

Сервисы, созданные для помощи, оказались в роли уязвимых точек. Они сохраняют введённые данные, делая их публично доступными — и это открывает дверь для злоумышленников. В результате утекают не только коды и ключи, но и личные данные, конфигурации, токены доступа к облачным сервисам. Утечка AWS-токенов, например, может дать злоумышленнику полный доступ к инфраструктуре компании. А утечка SSH-сессий — к внутренним системам.

Важный нюанс: Удобство часто требует жертвы в виде конфиденциальности. Когда инструменты становятся частью рабочего процесса, их безопасность перестаёт быть приоритетом — и это делает их особенно опасными.

В эксперименте с canary tokens, проведённом исследователями, утечка подтвердилась буквально в течение суток. Это говорит о том, что данные, выложенные даже случайно, могут быть быстро обнаружены и использованы. При этом ответ организаций на уведомления о проблеме был неоднозначным. Только часть из них отреагировала, что подчёркивает слабость текущих механизмов реагирования на инциденты безопасности.

Как работает уязвимость

Механизм утечки прост: пользователь отправляет данные на сервис, чтобы проверить или отформатировать их. Сервис, чтобы упростить доступ, создаёт публичную ссылку — и оставляет данные на сервере. Злоумышленник может найти эту ссылку, например, через поисковик, и получить полный доступ к информации.

Это работает как вирусная схема: чем больше людей использует сервис, тем больше данных накапливается. И чем больше данных — тем выше вероятность, что среди них окажется что-то ценное. А для киберпреступника это — добыча.

Важный нюанс: Утечка данных не всегда происходит через сложные атаки. Часто это результат доверия к инструментам, которые кажутся безопасными, но на деле не защищены должным образом.

Что это значит для бизнеса

Для компаний, особенно тех, кто работает с конфиденциальной информацией, это становится критичной угрозой. Особенно если разработчики используют такие сервисы на рабочих задачах. Утечка одного ключа может привести к компрометации всей системы. В условиях, когда атаки становятся всё сложнее, а уязвимости — всё чаще скрываются в неочевидных местах, контроль над инструментами становится частью стратегии безопасности.

Важный нюанс: Для минимизации рисков важно регулярно контролировать, какие внешние сервисы используются в процессе разработки, и обеспечить, чтобы сотрудники понимали, что отправка данных в публичные сервисы может быть опасной.

Новые правила игры

Такие инциденты подтверждают, что безопасность больше не ограничивается защитой собственных систем. Теперь она включает и контроль над инструментами, которые используются в работе. Это меняет подход к разработке и внедрению технологий: теперь безопасность — не только техническая задача, но и культурная.

Важный нюанс: В мире, где даже вспомогательные инструменты могут стать векторами атак, безопасность становится вопросом не только технологий, но и поведения.

Утечки через цепочки поставок и репозитории

Уязвимости в веб-сервисах форматирования кода — лишь один из аспектов более широкой проблемы. По данным исследований, злоумышленники всё чаще используют уязвимости в экосистемах пакетов, таких как NPM, для распространения вредоносного ПО и утечки данных. Например, в одной из атак злоумышленники внедрили вредоносные пакеты, которые сканировали системы на наличие учетных данных GitHub и передавали их злоумышленникам через HTTP- и JSON-запросы [!].

Такие атаки становятся особенно опасными, поскольку они маскируются под обычные зависимости, что затрудняет их обнаружение. Это подчеркивает необходимость усиления контроля над используемыми библиотеками и зависимостями, а также внедрения автоматизированных систем проверки кода перед его интеграцией в проекты.

Угрозы в облачных сервисах

Утечки данных также становятся актуальной темой в облачных инфраструктурах. В октябре крупные сбои в работе AWS и Azure затронули десятки миллионов пользователей и повлияли на работу игровых сервисов, государственных систем и финансовых организаций. Эксперты отмечают, что концентрация цифровой инфраструктуры в руках нескольких компаний повышает риски глобальных сбоев, несмотря на их высокую надёжность и устойчивость [!].

В облаках злоумышленники фокусируются на трёх направлениях: получении начального доступа, обеспечении постоянного присутствия и краже учетных данных. AWS, как одна из ведущих платформ, сталкивается с атаками, использующими автоматизированные инструменты и готовые скрипты для быстрого выполнения задач. Это связано с сокращением времени проникновения в системы с недель до минут, что делает скорость и масштабирование атак критически важными факторами [!].

Риски через платформы разработчиков

Платформы вроде GitHub и GitLab также становятся популярными каналами для распространения вредоносного ПО. Злоумышленники создают поддельные репозитории, имитирующие популярные приложения, и оптимизируют их под поисковые системы. Пользователи, попав на такие репозитории, перенаправляются на фишинговые сайты, где им предлагается выполнить вредоносную команду в терминале. Это позволяет злоумышленникам обойти защитные механизмы операционных систем и получить доступ к конфиденциальной информации [!].

Кроме того, злоумышленники используют схемы компрометации открытых репозиториев и тайпсквоттинга, создавая вредоносные пакеты с названиями, похожими на легитимные проекты. В результате таких атак пользователи могут запускать вредоносную нагрузку, которая загружает на их устройства трояны удаленного доступа и шпионское ПО [!].

Что делать бизнесу

Для минимизации рисков ключевым становится аудит используемых инструментов и сервисов, включая внешние поставщиков и сторонние библиотеки. Также важно внедрить строгие политики по защите данных, включая:

• Использование внутренних инструментов вместо публичных сервисов для работы с конфиденциальной информацией.
• Автоматизированную проверку зависимостей в проектах, чтобы выявлять потенциально вредоносные пакеты.
• Обучение сотрудников правилам безопасной работы с кодом и данными.
• Мониторинг активности в облачных аккаунтах и репозиториях, чтобы оперативно реагировать на подозрительные действия.
• Регулярное тестирование на проникновение и проверку уязвимостей в используемых сервисах и инструментах.

Выводы

Современные угрозы безопасности не ограничиваются атаками на корпоративные сети или киберпространство. Они проникают в самые обыденные инструменты, которые используются для упрощения работы. Это требует нового подхода к обеспечению безопасности: от технических мер до культурных изменений в рабочих процессах. Утечки данных, вызванные доверием к внешним сервисам, становятся реальным вызовом для бизнеса, особенно в условиях роста автоматизации и использования ИИ в атаках.

Важный нюанс: Безопасность — это не только защита данных, но и осознанное поведение, которое начинается с выбора инструментов и заканчивается контролем за их использованием.