【安全资讯】代码格式化工具泄露数千份银行、政府及科技机构敏感数据

概要：

在线代码格式化平台JSONFormatter和CodeBeautify因功能设计缺陷，导致超过8万份包含密钥、凭证及个人身份信息的JSON片段遭公开暴露。这一涉及金融、政府、医疗等关键领域的安全事件，暴露出第三方服务在数据处理中的系统性风险，可能被威胁行为体大规模利用。

主要内容：

安全公司WatchTowr研究发现，JSONFormatter和CodeBeautify平台的“最近链接”功能未设置访问控制，用户通过保存按钮生成的临时分享链接会被收录至公开列表。由于URL遵循可预测的格式，攻击者仅需简单爬虫即可批量获取这些包含敏感数据的JSON片段。

技术分析显示，泄露数据涵盖5年间的8万余条记录，包括Active Directory凭据、数据库密钥、API令牌、SSL证书私钥及完整KYC数据。某国际证券交易所的Splunk SOAR系统AWS凭证、美国银行的域控凭据等核心资产均遭暴露，攻击者可直接利用这些信息渗透内网。

研究人员通过部署蜜罐系统验证威胁真实性：在平台植入伪造AWS密钥后，48小时内即监测到攻击者的验证尝试。值得注意的是，这些探测发生在分享链接过期24小时后，表明威胁行为体已建立持续监控机制。

尽管已向受影响机构通报风险，但两个平台的公开链接功能仍未修复。此事件凸显第三方服务在代码格式化过程中缺乏数据生命周期管理，致使关键基础设施领域持续面临数据泄露威胁。