Wie Entwicklerwerkzeuge über Jahre hinweg Tausende vertrauliche Geheimnisse preisgaben : Falsche Nutzung von JSONFormatter and CodeBeautify führte zur Offenlegung von Passwörtern, API-Schlüsseln und personenbezogener Daten quer durch alle Branchen.
Mehrere Jahre lang sind hochsensible Zugangsdaten aus kritischen Organisationen unbemerkt auf öffentlichen Webseiten gelandet. Neue Untersuchungen zeigen das Ausmaß eines Lecks, das Regierungen, Banken, Telekommunikationsunternehmen und sogar Cybersicherheitsfirmen betrifft.
JSONFormatter und CodeBeautify gehören zu den meistgenutzten Online-Werkzeugen, wenn Entwickler schnell und unübersichtlich JSON- oder Codefragmente analysieren möchten. Beide Dienste dienen eigentlich nur der Formatierung oder Validierung von Daten. Viele Nutzer gehen davon aus, dass die Inhalte lediglich lokal im Browser verarbeitet werden. Tatsächlich speichern die Plattformen jedoch einen Teil der eingereichten Daten serverseitig – eine Funktion, die ursprünglich für das Teilen formatierten Codes gedacht war. Genau diese Kombination aus Bequemlichkeit und einem falschen Sicherheitsgefühl führt dazu, dass Entwickler in Unternehmen dort unbeabsichtigt vertrauliche Informationen einfügen.
Im hektischen Entwicklungsalltag greifen viele unter Zeitdruck zu den erstbesten Werkzeugen, die eine Suchmaschine vorschlägt. Dies geschieht oft ohne Bewusstsein dafür, dass JSON-Antworten, Konfigurationsdateien oder Logausgaben automatisch sensible Informationen wie Zugangsschlüssel, Tokens, Passwörter oder persönliche Daten enthalten können. Wird ein solcher Datenblock ohne vorherige Bereinigung in Onlinewerkzeuge kopiert, landen all diese Informationen auf fremden Servern – häufig dauerhaft.
JSONFormatter und CodeBeautify legen Tausende von Passwörtern und API-Schlüsseln offen
Aktuelle Analysen belegen, dass tatsächlich zahlreiche Organisationen – darunter Regierungsbehörden, Telekommunikationsanbieter und Betreiber kritischer Infrastrukturen – Passwörter und Anmeldedaten in Onlinewerkzeuge wie JSONFormatter und CodeBeautify einfügen. Das Cybersicherheitsunternehmen watchTowr Labs entdeckte über 80.000 auf diesen Plattformen gespeicherte Dateien.
Unter den Daten fanden sich tausende Benutzernamen, Passwörter, Repository-Schlüssel, Anmeldedaten für Active Directory, Datenbankzugänge, FTP-Zugangsdaten, Schlüssel für Cloud-Umgebungen, Konfigurationsinformationen für Lightweight Directory Access Protocol, Helpdesk-Schnittstellenschlüssel, API-Schlüssel von Meeting-Räumen, Secure Shell-Sitzungsaufzeichnungen sowie persönliche Informationen aller Art. Insgesamt stammen die Inhalte aus fünf Jahren historischer JSONFormatter-Daten und einem Jahr CodeBeautify-Daten – mehr als fünf Gigabyte angereicherte, kommentierte Informationen.
Von den Lecks betroffen sind nahezu alle kritischen Sektoren: nationale Infrastruktur, Regierung, Finanzen, Versicherungen, Banken, Technologie, Einzelhandel, Luft- und Raumfahrt, Telekommunikation, Gesundheitswesen, Bildung, Reisebranche sowie ironischerweise auch die Sicherheitsindustrie selbst.
Der Sicherheitsforscher Jake Knott betonte: „Diese Tools sind äußerst beliebt … und werden von einer Vielzahl von Organisationen, Einrichtungen, Entwicklern und Administratoren sowohl in Unternehmensumgebungen als auch für persönliche Projekte verwendet.“
Vorhersehbare Links erleichtern automatisiertes Auslesen
Ein zentrales Problem ist die Speicherfunktion der beiden Plattformen. Sie ermöglicht es, formatierten Code als semipermanenten Link abzulegen und mit anderen zu teilen. Jeder, der den Link besitzt, kann ihn aufrufen. Zusätzlich stellen die Seiten eine Liste der zuletzt gespeicherten Links bereit. Kombiniert mit vorhersehbaren URL-Strukturen können Angreifer automatisiert sämtliche gespeicherten Inhalte abrufen:
- https://jsonformatter.org/{id-here}
- https://jsonformatter.org/{formatter-type}/{id-here}
- https://codebeautify.org/{formatter-type}/{id-here}
Unter den durchgesickerten Informationen befanden sich Jenkins-Geheimnisse, verschlüsselte Konfigurationsdaten eines Sicherheitsunternehmens, Know-Your-Customer-Daten einer Bank, Amazon Web Services-Zugangsdaten eines großen Finanzplatzes im Zusammenhang mit Splunk sowie Active Directory-Zugangsdaten einer Bank.
Angreifer testen bereits veröffentlichte Zugangsdaten
WatchTowr demonstrierte, wie aktiv diese Daten missbraucht werden: Das Unternehmen lud gefälschte Amazon Web Services-Schlüssel auf einer der Seiten hoch und stellte bereits nach 48 Stunden fest, dass Unbekannte versuchten, sie zu verwenden. Dies zeigt, dass Dritte die veröffentlichten Daten systematisch einsammeln und testen.
Knott brachte es deutlich auf den Punkt: „Vor allem, weil das längst jemand ausnutzt – und das ist wirklich sehr, sehr dumm.“ Und weiter: „Wir brauchen also nicht noch mehr künstlich intelligente Agentenplattformen, sondern weniger kritische Organisationen, die ihre Zugangsdaten auf irgendwelchen Webseiten einfügen.“
Betreiber reagieren – (zu) spät
Bei einer aktuellen Überprüfung hatten beide Plattformen die Speicherfunktion bereits deaktiviert. JSONFormatter und CodeBeautify erklärten, man arbeite daran, „sie zu verbessern“ und „verbesserte Maßnahmen zur Verhinderung ungeeigneter Inhalte“ umzusetzen. WatchTowr vermutet, dass diese Änderungen bereits im September erfolgten, nachdem mehrere betroffene Organisationen gewarnt worden waren.
Der Fall zeigt, wie gefährlich Bequemlichkeit im Entwicklungsalltag sein kann. Wenn Zugangsdaten zum schnellen Test in Onlinewerkzeuge kopiert werden, verlieren Organisationen die Kontrolle über ihre sensibelsten Geheimnisse. Die Konsequenz: Angreifer benötigen nur einen simplen Crawler – und ein jahrelanger Strom unbeabsichtigt veröffentlichter Daten liegt offen vor ihnen.