Pesquisadores da WatchTowr relacionado Que plataformas populares como JSONFormatter e CodeBeautify estão expondo milhares de credenciais, chaves de autenticação, arquivos de configuração, chaves privadas e outros segredos confidenciais salvos pelos usuários.
Como os dados vazaram
As ferramentas permitem que os usuários “salvem” o JSON formatado e gerem um link público em uma página de “Links Recentes”, que pode ser percorrido por qualquer visitante ou por crawlers automatizados.
Ao coletar cerca de 80 mil arquivos JSON (mais de 5 GB de dados), os pesquisadores descobriram segredos de alto impacto, como credenciais de Active Directory, tokens de repositórios, chaves de API, registros de sessões SSH, dados KYC de bancos e até credenciais da AWS usadas por uma bolsa de valores internacional.
Quem foi afetado
Os vazamentos afetam organizações de setores críticos: tecnologia e cibersegurança, infraestrutura nacional, governo, finanças, saúde, setor aeroespacial, seguros, telecomunicações, educação, varejo e mais.
Em um caso extremo, alguém chegou a exportar todas as credenciais do AWS Secrets Manager para uma dessas ferramentas de formatação.
Atuação de invasores
A WatchTowr plantou credenciais falsas como isca e confirmou que agentes maliciosos estão raspando esses dados: as chaves foram usadas em menos de 48 horas, mesmo após o link salvo expirar.
Isso indica que os criminosos automatizam a coleta de links recentes, explorando o formato previsível das URLs e APIs públicas dessas plataformas.
Lições e recomendações
- Nunca cole senhas, chaves de API, tokens ou configurações sensíveis em sites aleatórios — mesmo que sejam apenas para “arrumar” JSON ou código.
- Use ferramentas locais (offline) ou extensões específicas para formatar código em vez de serviços web públicos.
- Faça varreduras regulares em busca de segredos em código-fonte e infra (por exemplo, com scanners de segredos).
- As organizações notificadas deverão revogar e rotacionar imediatamente todas as credenciais expostas.
Como resumiu a WatchTowr, o problema não é uma ferramenta em si, mas o hábito perigoso de colar credenciais em qualquer site — um erro humano que está na raiz de mais um vazamento em larga escala.
