Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie.

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie.

Principales découvertes:

  • Types de secrets exposés: identifiants Active Directory, clés d’API, tokens GitHub, clés cloud AWS (préfixe AKIA), identifiants Docker/JFrog/Grafana, mots de passe (dont défauts), clés privées, JWT admin, configurations LDAP/CI/CD/RTSP, enregistrements SSH, et PII (jusqu’aux données KYC complètes et liens vers des vidéos d’entretien).
  • Secteurs touchés: Infrastructures critiques, gouvernement, finance/banque/assurance, cybersécurité, technologie, santé, éducation, télécoms, retail, aérospatial, voyage, etc.
  • Ampleur: environ 350 000 liens sauvegardés rien que sur JSONFormatter.org depuis l’origine; extraction facilitée par une page Recent Links et un endpoint public permettant de récupérer les contenus.

🔗 Source originale : https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/