Das hier ist ein vollständig KI generierter Artikel.

Ein kurzer Copy-Paste-Vorgang im Browser kann genügen, um sensibelste Firmendaten weltweit öffentlich zu machen. Sicherheitsforscher:innen zeigen jetzt, wie gefährlich einige beliebte Entwickler-Tools wirklich sind.

Bequemlichkeit schlägt Sicherheit

Wie Bleeping Computer unter Berufung auf das Sicherheitsunternehmen Watchtowr aus Singapur berichtet, liegen auf den Servern populärer Web-Dienste wie JSONFormatter und CodeBeautify tausende vertrauliche Datensätze frei zugänglich herum. Darunter befinden sich Zugangsdaten für Banken, Regierungsbehörden und kritische Infrastrukturen.

Öffentlich statt privat geteilt

Diese gespeicherten Inhalte sind jedoch nicht privat, sondern öffentlich über vorhersagbare Webadressen abrufbar. Schlimmer noch: Die Dienste listen diese gespeicherten Schnipsel teilweise in einer Übersicht der zuletzt erstellten Links auf. Laut dem Bericht von Watchtowr konnten die Sicherheitsforscher:innen über 80.000 dieser Code-Schnipsel extrahieren.

Auch Sicherheitsfirmen betroffen

Besonders brisant ist, dass selbst Unternehmen aus der Cybersicherheitsbranche betroffen sind. In einem Fall entdeckten die Expert:innen von Watchtowr Konfigurationsdateien einer namentlich nicht genannten Sicherheitsfirma, die SSL-Zertifikats-Passwörter enthielten. Auch personenbezogene Daten (PII) und sogenannte Know-Your-Customer-Daten (KYC) waren in den öffentlichen Schnipseln enthalten.

Angreifer lauern bereits

Dass diese Lücke nicht nur theoretischer Natur ist, belegt ein Experiment der Forscher:innen. Sie platzierten gefälschte AWS-Zugangsdaten, sogenannte Canarytokens, in den Diensten. Obwohl die Links so konfiguriert waren, dass sie nach 24 Stunden ablaufen sollten, registrierten die Forscher:innen Zugriffe auf die Fake-Daten.

„Schatten-IT” als Einfallstor

Der Vorfall beleuchtet ein klassisches Problem der sogenannten Schatten-IT. Mitarbeitende nutzen externe Tools zur Problemlösung, ohne sich der Sicherheitsimplikationen bewusst zu sein oder diese schlichtweg zu ignorieren. Die Betreiber der beiden Webseiten wurden von Watchtowr kontaktiert, doch zum Zeitpunkt der Veröffentlichung des Berichts waren die kritischen Funktionen teilweise noch aktiv.

Fazit

Für Entwickler:innen und Admins ergibt sich daraus eine klare Handlungsanweisung: Sensible Daten, Konfigurationen oder echter Programmcode sollten niemals in öffentlichen Online-Tools verarbeitet werden. Lokale Alternativen bieten hier eine sicherere Option.

Quelle: https://t3n.de/news/code-formatter-leak-zugangsdaten-1718947/