【安全资讯】代码美化工具泄露银行、政府及科技机构敏感凭证

概要：

在线代码格式化工具JSONFormatter和CodeBeautify因“最近链接”功能设计缺陷，导致数万条包含银行凭证、政府配置和科技公司密钥的敏感数据遭公开暴露。这一安全漏洞持续五年未修复，涉及金融、医疗、航空航天等关键领域，凸显第三方服务在数据处理中的系统性风险。

主要内容：

安全公司WatchTowr研究发现，两个主流代码美化平台的“最近链接”页面采用可预测URL结构，且完全未设访问控制。攻击者仅需简单爬虫即可批量获取用户提交的JSON代码片段，通过getDataFromID接口直接提取原始数据。

技术细节显示，泄露数据涵盖Active Directory凭据、云服务密钥、支付网关令牌及KYC个人身份信息。某国际证券交易所的Splunk SOAR系统AWS密钥、美国银行Active Directory登录信息均因此暴露，甚至包含网络安全公司SSL证书私钥密码等核心资产。

攻击验证实验中，研究人员部署的伪造AWS密钥在链接过期24小时后仍遭恶意扫描，证明威胁主体已持续监控此类平台。尽管已通知受影响机构，但两大平台至今未关闭公开访问入口，形成持续数据泄露通道。

此次事件暴露出临时代码共享服务的安全盲区，超过5GB的80,000条记录证明凭证管理存在严重漏洞。金融机构与关键基础设施运营商需重新评估第三方工具的数据处理流程，防止敏感配置通过技术工具链意外暴露。