كشفت أبحاث أمنية حديثة عن تسريبات خطيرة امتدت لسنوات من خلال أدوات تنسيق الشيفرات البرمجية الشهيرة JSONFormatter وCodeBeautify، حيث تبين أن العديد من المؤسسات في قطاعات حساسة مثل الحكومات والبنية التحتية والاتصالات كانت تلصق بيانات اعتماد حساسة في هذه الأدوات دون إدراك للمخاطر الأمنية المترتبة على ذلك.
أدوات تنسيق الشيفرات تتحول إلى مصائد للبيانات الحساسة
أفادت شركة watchTowr Labs بأنها جمعت أكثر من 80,000 ملف من هذه المواقع، تحتوي على آلاف أسماء المستخدمين وكلمات المرور، ومفاتيح المصادقة لمستودعات الشيفرة، وبيانات اعتماد Active Directory، وقواعد البيانات، وFTP، ومفاتيح بيئات الحوسبة السحابية، ومعلومات إعدادات LDAP، ومفاتيح واجهات برمجة التطبيقات (API) الخاصة بأنظمة الدعم والاجتماعات، وحتى تسجيلات جلسات SSH.
وتضمنت البيانات المسربة محتوى تاريخياً يمتد لخمس سنوات من JSONFormatter وسنة كاملة من CodeBeautify، بإجمالي يزيد عن 5 غيغابايت من بيانات JSON المشروحة والمُعزّزة.
قطاعات حيوية ضمن قائمة الضحايا
شملت المؤسسات المتأثرة قطاعات حيوية مثل البنية التحتية الوطنية، والحكومات، والمالية، والتأمين، والبنوك، والتكنولوجيا، والتجزئة، والطيران، والاتصالات، والرعاية الصحية، والتعليم، والسفر، بل وحتى شركات الأمن السيبراني نفسها.
وأشار الباحث الأمني جيك نوت إلى أن هذه الأدوات تحظى بشعبية كبيرة، وغالباً ما تظهر في نتائج البحث الأولى لعبارات مثل “تنسيق JSON” أو “أفضل مكان للصق الأسرار”، مما يجعلها وجهة مفضلة للمطورين والمسؤولين الإداريين في المؤسسات وحتى في المشاريع الشخصية.
روابط قابلة للمشاركة تُسهّل الوصول غير المصرح به
تتيح الأدوات للمستخدمين حفظ الشيفرات المنسقة عبر روابط دائمة يمكن مشاركتها، ما يعني أن أي شخص يمتلك الرابط يمكنه الوصول إلى البيانات. والأسوأ من ذلك، أن هذه الروابط تتبع نمطاً قابلاً للتنبؤ، مما يسمح للمهاجمين باستخدام أدوات زحف بسيطة لاستخراج آلاف الروابط من صفحات “الروابط الحديثة” المتاحة علناً.
من بين الأمثلة على البيانات المسربة:
– أسرار Jenkins
– بيانات اعتماد مشفرة من شركة أمن سيبراني
– معلومات “اعرف عميلك” (KYC) لبنك
– مفاتيح AWS مرتبطة بمنصة Splunk
– بيانات Active Directory لمؤسسة مالية
استغلال فعلي وتسريبات نشطة
في تجربة أجرتها watchTowr، تم تحميل مفاتيح وصول وهمية لـ AWS على أحد هذه المواقع، ولاحظ الباحثون محاولات فعلية لاستغلالها خلال 48 ساعة فقط، ما يؤكد أن جهات خبيثة تراقب هذه المنصات وتستغل البيانات المسربة فوراً.
استجابة متأخرة من المنصات
عند مراجعة The Hacker News للموقعين، تبين أن JSONFormatter وCodeBeautify قاما بتعطيل خاصية الحفظ مؤقتاً، مشيرين إلى أنهم “يعملون على تحسينها” و”تطبيق تدابير محسّنة لمنع المحتوى غير المناسب”. ويُعتقد أن هذا الإجراء جاء استجابة لتحذيرات من منظمات متضررة تواصلت مع القائمين على المنصتين في سبتمبر الماضي.
