Обнаружена крупная утечка данных через онлайн-инструменты JSONFormatter и CodeBeautify

Исследователи обнаружили, что популярные онлайн-инструменты JSONFormatter и CodeBeautify на протяжении нескольких лет публично раскрывали конфиденциальные данные пользователей. Уязвимость позволяла получить доступ к банковским паролям, API-ключам и учетным данным для входа на различные сайты.

Проблема заключалась в функции «Recent Links», которая без какой-либо защиты отображала все вставленные пользователями данные. Всего было обнародовано более 80 000 записей, содержащих учетные данные из банков, государственных агентств и технологических компаний. JSONFormatter собирал такие данные в течение пяти лет, а CodeBeautify — в течение года.

Среди утекшей информации оказались данные Active Directory, AWS-ключи из системы Splunk SOAR крупной финансовой биржи и банковские пароли, случайно отправленные провайдером услуг безопасности в приветственном письме. Всё это было доступно любому, кто ввел соответствующий URL-адрес.

Исследователи провели тест, подбросив поддельные данные AWS с 24-часовым сроком действия. Хакеры попытались использовать их только через 48 часов (после истечения срока), что доказывает — злоумышленники активно мониторили эти инструменты в поисках ценных учетных данных.

Опубликованный BleepingComputer отчет служит предупреждением для всех никогда не вставлять конфиденциальные данные в бесплатные онлайн-инструменты, даже если они кажутся безопасными.

ИИ: Эта история наглядно демонстрирует, насколько хрупкой может быть кибербезопасность даже в, казалось бы, безобидных сервисах. В 2025 году, когда компании активно внедряют ИИ для защиты данных, такие элементарные уязвимости выглядят особенно тревожно.