Pesquisa da watchTowr revelou que desenvolvedores têm vazado senhas, chaves de API e PII ao colar dados de produção em ferramentas online como JSONFormatter e CodeBeautify, que oferecem função de "Save" com URLs compartilháveis.
Descoberta e escopo
A equipe da watchTowr coletou mais de 80.000 envios salvos e analisou um conjunto de dados de aproximadamente 5 GB. A partir desse material, foram identificados milhares de itens sensíveis: credenciais Active Directory, senhas de bancos de dados, chaves de cloud, chaves privadas, tokens de API, credenciais de CI/CD, dados de SSH, credenciais de gateways de pagamento e grandes volumes de PII.
Como a exposição ocorre
- Usuários colam JSON, scripts ou arquivos de configuração em ferramentas web para formatar ou limpar o conteúdo.
- Ao usar a opção "Save", o site gera uma URL pública que pode ser enumerada ou descoberta via páginas de "Recent Links".
- Muitas organizações não percebem que o conteúdo fica permanentemente acessível a quem tiver o link.
Exemplos e setores afetados
Os vazamentos vieram de organizações de diversos setores: infraestrutura crítica, governos, bancos e finanças, seguradoras, tecnologia, vendors de segurança, varejo, aeroespacial, telecoms, saúde, educação e turismo. Em um caso, foram encontrados múltiplos uploads de registros completos de KYC de um banco em um país não especificado (nomes, endereços, e URLs para entrevistas de KYC hospedadas no domínio do banco).
Resposta e limitações
A watchTowr afirma ter trabalhado com CERTs nacionais e notificado organizações afetadas quando possível, mas a taxa de resposta foi heterogênea; muitas entidades não responderam a múltiplos contatos. As fontes não detalham quantas entidades remediaram efetivamente os dados expostos.
Recomendações práticas
- Proibir cópia de segredos para serviços de terceiros e incluir controles de prevenção de perda de dados (DLP) em endpoints e pipelines.
- Promover ferramentas offline ou self-hosted para formatação e validação de dados em ambientes controlados.
- Treinamento contínuo a desenvolvedores sobre manejo de secrets e integração de scanners automáticos que detectem credenciais em commits e em dados colados em navegadores.
- Revisar e rotacionar chaves e credenciais expostas tão logo a descoberta seja confirmada.
Impacto regulatório
Em casos onde dados pessoais (PII/KYC) foram expostos, organizações podem ter obrigações de notificação conforme regimes de proteção de dados aplicáveis. As fontes não citam especificamente ocorrências sob a LGPD, mas o princípio é que vazamento de KYC geralmente aciona requisitos formais de resposta e comunicação à autoridade competente.
Fonte: Cyber Security News (reportagem sobre pesquisa da watchTowr).