Peneliti keamanan siber menemukan kebocoran besar yang melibatkan ribuan kredensial dan data sensitif dari berbagai organisasi, termasuk sektor perbankan, pemerintahan, kesehatan, pendidikan, hingga perusahaan teknologi global. Kebocoran ini terjadi akibat fitur penyimpanan publik pada dua layanan pemrosesan kode, yaitu JSONFormatter dan CodeBeautify, yang memungkinkan siapa pun mengakses data yang disimpan pengguna tanpa proteksi.
Penemuan ini diungkap oleh tim dari WatchTowr, perusahaan yang bergerak di bidang pemantauan permukaan serangan eksternal. Mereka menemukan lebih dari 80 ribu unggahan pengguna dalam format JSON yang tersimpan secara publik melalui fitur Recent Links di kedua platform tersebut. Total data yang terekspos mencapai lebih dari 5 GB, mencakup kredensial, token autentikasi, kunci API, hingga konfigurasi sistem internal.
Fitur Recent Links secara otomatis membuat tautan ketika pengguna menekan tombol save pada platform. Tautan tersebut disimpan tanpa mekanisme keamanan, sehingga dapat ditemukan dan diakses dengan mudah, bahkan menggunakan crawler otomatis karena struktur URL-nya bersifat terprediksi.
Dari hasil scraping selama lima tahun data JSONFormatter dan satu tahun data CodeBeautify, peneliti menemukan berbagai informasi sensitif, seperti kredensial Active Directory, token repositori kode, kunci pembayaran gateway, API key, rekaman sesi SSH, serta data pribadi pelanggan yang mencakup informasi know-your-customer.
Salah satu temuan paling mengkhawatirkan adalah kredensial AWS aktif milik sebuah bursa saham internasional yang terhubung ke sistem Splunk SOAR. Selain itu, ada pula kasus di mana penyedia layanan keamanan siber tanpa sengaja membocorkan informasi internal, termasuk kata sandi terenkripsi, nama host internal, sertifikat SSL, hingga lokasi file konfigurasi penting.
Pemerintah juga tidak luput dari insiden ini. Salah satu temuan mencakup ribuan baris kode PowerShell dari instansi pemerintah yang menunjukkan proses konfigurasi perangkat, mulai dari pengaturan registry, instalasi host, hingga deployment aplikasi web. Meskipun skrip tersebut tidak berisi kata sandi, informasi konfigurasi internal dapat dimanfaatkan oleh pihak tidak bertanggung jawab.
Dalam percobaan lanjutan, tim WatchTowr membuat jebakan dengan menanam kredensial AWS palsu ke dalam kedua platform. Hasilnya menunjukkan bahwa dalam waktu 48 jam, kredensial tersebut sudah dicoba digunakan oleh aktor tidak dikenal, meskipun tautan penyimpanan telah kedaluwarsa 24 jam sebelumnya. Hal ini menandakan bahwa para pelaku siber aktif memantau ruang publik untuk mencari informasi sensitif yang dapat dieksploitasi.
WatchTowr telah menghubungi beberapa organisasi yang terdampak dan hanya sebagian kecil yang merespons atau mengambil langkah mitigasi. Hingga saat ini, fitur Recent Links pada JSONFormatter dan CodeBeautify masih dapat diakses publik, membuka peluang bagi pihak berbahaya untuk terus mengumpulkan data rahasia dari berbagai institusi.
Insiden ini menjadi peringatan penting bagi pengembang perangkat lunak dan organisasi yang bergantung pada alat bantu online dalam memformat atau membagikan potongan kode. Praktik penyimpanan kode sembarangan dapat menjadi titik lemah keamanan yang berpotensi menimbulkan kerugian besar, khususnya bila melibatkan kredensial sistem produksi atau informasi identitas pelanggan.
Para pakar keamanan menyarankan organisasi untuk mengaudit kredensial yang mungkin bocor, mematikan token yang sudah terekspos, serta menerapkan sistem manajemen rahasia modern yang lebih aman. Selain itu, pengguna diimbau untuk berhenti menyimpan kode sensitif pada layanan publik tanpa perlindungan akses.
Kebocoran ini menegaskan kembali bahwa kesalahan kecil dalam alur kerja pengembangan dapat menjadi ancaman besar dalam era digital yang semakin kompleks dan terhubung.