JSONFormatter 和 CodeBeautify 用戶洩露了憑證、身份驗證金鑰、設定資訊、私鑰和其他機密資訊，攻擊面管理提供者WatchTowr分析了從 JSONFormatter 和CodeBeautify 這兩個用戶用來「美化」程式碼的平台收集的 大約80,000 個已保存的 JSON 檔案，發現了數千個敏感秘密，包括憑證、金鑰、令牌、設定檔、SSH 會話記錄、敏感 API 請求和回應、個人識別資訊 (PII) 以及其他類型的敏感資訊。
WatchTowr 發出警告，程式碼格式化平台的使用者正在暴露數千個秘密和其他類型的敏感資訊。GitHub 去年在該平台上發現了大約3900 萬個無意中洩露的密鑰，先前的研究表明，在基於 Git 的源代碼管理系統(SCM) 上暴露的密鑰將永久洩露。
問題不在於人們使用這些平台來格式化和美化企業或個人專案中的程式碼，問題在於，有些項目會保存下來，以便創建指向代碼的鏈接，從而進行共享；而這些平台允許訪問者滾動瀏覽最近保存的內容和相關的 URL。 透過在這些 JSON 格式平台中放置虛假憑證，這家網路安全公司發現其他人也在抓取資料庫，而洩漏的秘密會在洩漏後的幾天內被使用。
WatchTowr 指出：「我們不需要更多人工智慧驅動的代理平台；我們需要減少關鍵組織將憑證貼到隨機網站上的行為。」這項發現凸顯了組織在日常開發和營運流程中，對於機敏資料處理習慣的嚴重風險，即使是看似無害的輔助工具，也可能成為攻擊者輕易獲取企業核心資產的公開門戶，企業應立刻審查並建立嚴格的資安政策，禁止未經淨化的程式碼或包含機密資訊的資料貼入任何未受控管的外部網站服務中。

資料來源：https://www.securityweek.com/thousands-of-secrets-leaked-on-code-formatting-platforms/