Fitur “Recent Links”: Pintu Terbuka yang Tidak Disadari

Saat pengguna menekan tombol save, platform menghasilkan URL unik untuk membagikan kode. Namun URL tersebut juga otomatis masuk ke daftar Recent Links, sebuah halaman tanpa autentikasi yang dapat diakses siapa saja. Karena pola URL sangat mudah ditebak, bot atau crawler sederhana bisa mengumpulkan seluruh data yang tersimpan.

Melalui scraping selama beberapa bulan, WatchTowr menghimpun data dari lima tahun penggunaan JSONFormatter dan satu tahun data CodeBeautify—mengungkap berbagai informasi rahasia seperti:

• Kredensial Active Directory
• Private key & sertifikat SSL
• Token API, token CI/CD, dan kunci developer
• Kredensial basis data, cloud, dan repositori kode
• Data PII termasuk KYC
• Rekaman sesi SSH
• Kredensial bank dan infrastruktur kritis lainnya

Contohnya, peneliti menemukan berkas konfigurasi milik perusahaan keamanan siber yang memuat kredensial terenkripsi, password private key, hostname internal, serta jalur file rahasia. Data pemerintah pun tidak luput, termasuk ribuan baris PowerShell yang mengungkap detail konfigurasi server, nilai IIS, serta registri hardening.

Beberapa temuan kritis lainnya mencakup:

• Kredensial AWS aktif milik bursa saham internasional yang digunakan dalam automasi Splunk SOAR.
• Kredensial Active Directory dan kredensial bank AS yang secara tidak sengaja dibocorkan oleh MSSP ternama.
• Konfigurasi cloud lengkap milik perusahaan Data Lake-as-a-Service, termasuk domain, email, host, dan token layanan seperti Docker Hub dan JFrog.

Bukti Ancaman Nyata: Kredensial Palsu pun Diserang

Untuk menguji apakah penyerang sudah memantau data ini, WatchTowr menanamkan kredensial AWS palsu (Canarytokens) pada JSON publik.

Hasilnya:

• Kredensial tersebut diuji oleh pihak tak dikenal 48 jam setelah unggahan,
• Bahkan setelah tautan yang seharusnya hanya berlaku 24 jam itu sudah kedaluwarsa.

Ini menunjukkan bahwa penyerang kemungkinan sudah aktif memonitor dan menyedot data dari halaman Recent Links secara otomatis.

Minim Respons, Risiko Tetap Terbuka

Meski beberapa organisasi langsung menindaklanjuti laporan dari WatchTowr, banyak lainnya tidak merespons. Hingga kini, Recent Links kedua platform masih terbuka dan dapat digunakan siapa pun—termasuk pihak berbahaya—untuk memanen data sensitif yang seharusnya tidak pernah dibagikan ke layanan publik.

Kasus ini menjadi pengingat penting bahwa alat sederhana seperti code beautifier dapat menjadi sumber kebocoran data besar jika digunakan tanpa memahami risikonya.

Sumber: WatchTowr