小伙伴们,这个新闻得赶紧说,不然就得跟钱袋子说拜拜啦!顶级代码格式化网站JSONFormatter和CodeBeautify居然泄露出了程序员们的海量个人数据,这可把我们害惨了。htmlWatchTowr他们这回可真的火眼金睛,发现这两个网站有个“最近链接”的功能完全没设防,导致这些敏感信息直接被犯罪分子给盯上了! 研究人员直接把以前的数据扒出来一看,好家伙!里面藏着各行业的API令牌、私钥、Active Directory凭证,甚至还有个人身份信息。这简直就是把家底都给露出来了,这一波操作可是让无数组织都暴露在风险里。专家们早就警告过了,这种公共格式化网站不安全得很。 这里面还藏着一个大秘密:这些网站的“最近链接”功能虽然是为了方便用户找回文件,但它遵循的URL格式太死板了,分分钟就能被爬虫给搜出来。 WatchTowr这回可是把它俩翻了个底朝天。五年前的JSONFormatter和整整一年的CodeBeautify数据都被他们扒出来了。你看他们发现了什么?数据库凭证、SSH会话录音、KYC信息,甚至还有AWS密钥!这些东西可都是钱袋子里的秘密呀。 最要命的是,这些公司根本不知道自己家的大门已经敞开了。政府、金融、医疗保健这些关键领域的信息全部都在里面。虽然大家是自愿上传的,但显然大家都没搞懂这有多危险。 WatchTowr还说了一句特现实的话:哪怕代码里没有敏感数据,里面也有不少有用的东西呢。比如内部端点、IIS配置值、注册表项什么的,这些信息对于黑客来说可是无价之宝。他们只要稍微动点脑筋就能搞出大动作。 更可怕的是,这都不是空穴来风!真的有人在利用这个漏洞干坏事了。黑客们专门在平台上加了假的AWS密钥设置成24小时过期,但有人居然在过期48小时后还在试!这智商真是让人无语。 最后WatchTowr也提醒大家了:以后上传内容可得小心点咯。特别是家里还得安排个Aura这种软件看着点才行啊!它的功能全着呢:密码管理器、身份盗窃保护、杀毒软件、VPN、家长控制什么都有!月费才20美金!真的不贵了。赶紧去看看优惠吧!