JSONFormatter와 CodeBeautify라는 온라인 코드 포매팅 및 구조화 도구에 수천 개의 인증 정보, 인증 키, 구성 데이터가 공개적으로 노출되어 있다는 연구 결과가 나왔습니다. 이들 도구는 사용자가 코드를 임시로 공유하기 위해 서버에 저장한 JSON 스니펫을 제공하는 '최근 링크'라는 기능을 통해 민감한 정보를 노출하고 있습니다. 이 기능은 보호 계층이 없어 누구나 접근할 수 있으며, 구조화되고 예측 가능한 URL 형식을 따르기 때문에 간단한 크롤러로 쉽게 검색할 수 있습니다.
외부 공격 표면 관리 회사인 WatchTowr의 연구자들은 이 두 플랫폼의 '최근 링크' 기능을 조사하였습니다. 그 결과, JSONFormatter의 5년치 데이터와 CodeBeautify의 1년치 데이터에서 8만 개 이상의 사용자 붙여넣기가 발견되었습니다. 이들 데이터에는 액티브 디렉토리 자격증명, 데이터베이스 및 클라우드 자격증명, 개인 키, 코드 저장소 토큰, CI/CD 비밀, 결제 게이트웨이 키, API 토큰, SSH 세션 녹음, 개인 식별 정보(PII) 등 민감한 정보가 포함되어 있었습니다.
이러한 정보 노출은 정부, 중요 인프라, 은행, 보험, 항공우주, 의료, 교육, 사이버 보안, 통신 등 고위험 부문에서 활동하는 기업과 조직에 영향을 미칠 수 있습니다. WatchTowr는 이러한 문제를 해결하기 위해 영향을 받은 조직들에게 이메일을 보냈지만, 많은 조직들이 응답하지 않았습니다. 현재로서는 '최근 링크'가 여전히 두 코드 포매팅 플랫폼에서 자유롭게 접근 가능하며, 이로 인해 위협 요인들이 민감한 데이터를 스크랩할 수 있습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.