اكتشف باحثون في watchTowr أن أدوات تنسيق الأكواد الشهيرة JSONFormatter وCodeBeautify تعرض بيانات اعتماد حساسة ومفاتيح واجهات برمجية ومفاتيح خاصة وملفات إعدادات وغيرها من المعلومات السرية، من خلال خاصية الحفظ التلقائي للمخرجات البرمجية التي يتم تنسيقها عبر الموقع.
يستخدم المطورون هذه الأدوات المجانية، والمستندة إلى الويب، لتنسيق الأكواد البرمجية المعقدة وجعلها قابلة للقراءة، أو للتحقق من صحتها، أو لتحويلها بين صيغ مختلفة. وتتيح المنصتان خيار حفظ المخرجات لمشاركتها لاحقاً، لكن بحسب صفحة الأسئلة الشائعة في JSONFormatter، فإن أي عملية حفظ دون تسجيل دخول تنشر بشكل علني تلقائي.
وبحسب تحليل الباحثين، فإن روابط المخرجات المحفوظة على كلا الموقعين تتبع نمطاً قابلاً للتنبؤ، مما يسهل على أي طرف خارجي استخراج محتوياتها من خلال زحف تلقائي. وبهذه الطريقة تمكن الفريق من جمع أكثر من 80 ألف ملف JSON محفوظ، واحتوت نسبة كبيرة منها على معلومات شديدة الحساسية، من بينها بيانات اعتماد Active Directory، ورموز GitHub، ومفاتيح بيئات الحوسبة السحابية، ومفاتيح خاصة، وبيانات من خطوط التجميع CI/CD، ومفاتيح واجهات برمجية، ومعلومات إعدادات حساسة، وسجلات جلسات SSH، وبيانات تعريف شخصية.
الأمر المقلق أكثر هو أن البيانات المكشوفة تعود لمؤسسات تنشط في قطاعات حساسة وتنظيمية عالية، من بينها جهات حكومية ومصرفية وصحية واتصالات وتجزئة وفضاء وتعليم، بل وحتى شركات أمن سيبراني.
وللتحقق مما إذا كان هناك من يستغل هذه الثغرة، أنشأ الباحثون رموزاً وهمية وأدخلوها في JSONFormatter وCodeBeautify. وبعد 48 ساعة فقط، تم رصد محاولة استخدام أحد مفاتيح AWS المزيفة، ما يشير إلى وجود جهات أخرى ترصد هذه الروابط وتختبرها بشكل فعال.
ويشير الفريق إلى أن خاصية “Recent Links” في JSONFormatter تم إخفاؤها مؤقتاً بدعوى منع المحتوى غير الملائم، لكن لا تزال خاصية الوصول إلى الروابط في CodeBeautify فعالة.
كما حذر الباحثون من أن هذه المشكلة لا تقتصر على هذين الموقعين، بل يحتمل أن تصاب بها منصات أخرى مشابهة. ويختتمون بتحذير واضح: “لا حاجة إلى المزيد من منصات الذكاء الاصطناعي… بل نحتاج إلى أن تتوقف المؤسسات الحساسة عن لصق بيانات اعتمادها في مواقع عشوائية”.
