Credit image: Freepix
Hacker Pindai Rahasia Lewat Online Tool – Ribuan kredensial, kunci autentikasi, dan data konfigurasi penting yang berdampak pada organisasi di sektor-sektor sensitif telah bocor.
Terekspos dalam potongan kode JSON yang diunggah ke alat online pemformat dan penata struktur kode seperti JSONFormatter dan CodeBeautify.
Para peneliti menemukan lebih dari 80.000 paste pengguna, dengan total lebih dari 5GB data, terekspos melalui fitur yang disebut Recent Links yang disediakan oleh kedua layanan tersebut.
Fitur ini dapat diakses secara bebas oleh siapa saja, tanpa lapisan perlindungan. Beberapa perusahaan dan organisasi yang data sensitifnya bocor melalui celah ini bergerak di sektor berisiko tinggi seperti:
- Pemerintahan.
- Infrastruktur kritis.
- Perbankan.
- Asuransi.
- Dirgantara.
- Kesehatan.
- Pendidikan.
- Keamanan siber.
- Dan telekomunikasi.
|
Baca juga: Sha1-Hulud Hapus Data dan Curi Kredensial |
Menyimpan Rahasia di Platform Online
Para peneliti menganalisis platform online JSONFormatter dan CodeBeautify dan menemukan bahwa fitur Recent Links mereka menyediakan akses ke potongan JSON yang telah disimpan pengguna di server layanan untuk tujuan berbagi sementara (temporary sharing).
Ketika pengguna mengklik tombol ‘save’ (simpan), platform akan membuat URL unik yang mengarah ke halaman tersebut dan menambahkannya ke halaman Recent Links pengguna.
Halaman ini tidak memiliki lapisan perlindungan, sehingga meninggalkan kontennya dapat diakses oleh siapa pun. Karena halaman Recent Links mengikuti format URL yang terstruktur dan dapat diprediksi, URL-nya dapat dengan mudah diambil menggunakan crawler sederhana.
Tingkat Paparan Data yang Parah
Dengan mengikis halaman Recent Links publik ini dan menarik data mentah menggunakan API endpoints platform tersebut, para peneliti berhasil mengumpulkan lebih dari 80.000 paste pengguna.
Data yang dikumpulkan mencakup lima tahun data JSONFormatter dan satu tahun data CodeBeautify, yang mengandung rincian sensitif, termasuk:
- Kredensial Active Directory, database, dan cloud.
- Private keys (Kunci pribadi).
- Token repositori kode.
- Rahasia CI/CD dan key Payment Gateway.
- Token API dan rekaman sesi SSH.
- Sejumlah besar informasi identitas pribadi (Personally Identifiable Information / PII), termasuk data KYC (Know-Your-Customer).
Para peneliti juga menemukan kredensial produksi AWS yang valid dari “bursa keuangan besar” yang terkait dengan otomatisasi Splunk SOAR.
|
Baca juga: SIM Farm Industri Pencurian Kredensial |
Studi Kasus Kebocoran Sensitif
- Perusahaan Keamanan Siber: Ditemukan “informasi yang sangat sensitif” dari sebuah perusahaan keamanan siber, termasuk kredensial terenkripsi untuk file konfigurasi yang sangat sensitif, kata sandi kunci pribadi sertifikat SSL, hostname dan alamat IP eksternal dan internal, serta jalur ke kunci, sertifikat, dan file konfigurasi.
- Entitas Pemerintah: Paste dari entitas pemerintah mencakup 1.000 baris kode PowerShell yang mengkonfigurasi host baru dengan mengambil installer, mengkonfigurasi registry keys, memperkuat konfigurasi, dan terakhir menyebarkan aplikasi web. Meskipun skrip tersebut tidak mencakup data sensitif secara eksplisit, file itu mengandung informasi berharga bagi penyerang, seperti detail tentang endpoint internal dan nilai konfigurasi IIS.
- Penyedia Layanan Keuangan: Sebuah Managed Security Service Provider (MSSP) membocorkan kredensial Active Directory untuk lingkungannya, serta kredensial email dan ID berbasis untuk sebuah bank di A.S., yang dideskripsikan sebagai “klien terbesar MSSP tersebut.”
Deteksi oleh Aktor Ancaman
Mengingat aktor ancaman terus-menerus memindai informasi sensitif pada sistem yang mudah diakses, para peneliti ingin mengetahui apakah ada penyerang yang sudah memindai JSON yang tersedia untuk umum ini.
Mereka menggunakan layanan Canarytokens untuk menghasilkan kunci akses AWS palsu tetapi tampak valid, dan menanamkannya di platform JSONFormatter dan CodeBeautify dalam file JSON yang dapat diakses melalui tautan yang diatur kedaluwarsa dalam 24 jam.
Sistem honeypot peneliti mencatat upaya akses menggunakan kunci palsu tersebut 48 jam setelah unggahan dan penyimpanan awal.
Hal yang paling menarik adalah akses ini terjadi 24 jam setelah tautan kedaluwarsa dan konten “yang disimpan” telah dihapus dari antarmuka front-end, menunjukkan bahwa penyerang memiliki taktik pemindaian yang persisten dan menyeluruh.
Para peneliti telah mengirim email kepada banyak organisasi yang terkena dampak. Meskipun beberapa organisasi memperbaiki masalah tersebut, banyak yang tidak menanggapi.
Saat ini, fitur Recent Links masih dapat diakses secara bebas pada kedua platform pemformatan kode, memungkinkan aktor ancaman untuk terus mengikis sumber daya tersebut demi mendapatkan data sensitif.
Sumber berita:
