最新消息

多國政府與企業憑證遭外洩,兩大程式碼美化工具曝嚴重資安漏洞


2025-11-28


多國政府與企業憑證遭外洩,兩大程式碼美化工具曝嚴重資安漏洞

兩個全球常用的程式碼輔助網站被爆出重大資安漏洞,大量來自多國政府、銀行、醫療等高風險產業的登入憑證、私鑰與驗證金鑰遭到外洩,且連結至今仍完全公開可見,引發國際資安圈高度警戒。

據國際資安媒體《Bleeping Computer》報導,資安公司 watchTowr 近期發現,JSONFormatter 與 CodeBeautify 兩個工具網站存在嚴重風險,使用者在整理程式碼後若選擇儲存結果,網站會產生可分享連結,但這些連結內含的所有內容完全未受保護,任何人都能開啟查看。

由於開發者經常在測試或排錯過程貼入含有 API key、Token 或驗證資訊的程式碼,因此這些連結成為高度敏感資訊的公開展示櫃。watchTowr 指出,其調查中發現:

內容涵蓋所有開發環境中最敏感的機密資訊,包括:

其中甚至包含一組國際證券交易所 Splunk SOAR 系統所使用的 AWS 憑證,以及某銀行在託管安全服務供應商(MSSP)啟用流程 email 中外洩的帳密。watchTowr 也坦言,外洩資料內竟也包含「某家容易識別的資安公司自身的敏感資訊」,可見風險高度普遍。

更令人憂心的是,截至目前為止,這些公共連結仍可在兩個平台上自由存取,顯示問題尚未獲得妥善處理。

資安專家指出,此事件暴露開發者常見的錯誤習慣,將含有機密資訊的程式碼直接貼上第三方網站進行格式化,卻忽略平台是否會保存內容或產生持久性連結。若這些連結被搜尋引擎收錄,更可能被惡意掃描工具大量撈取,風險難以估計。

專家建議企業應立即:

此次事件再次凸顯開發環境中隱性風險的嚴重性,即便不是遭遇駭客攻擊,只要錯誤操作加上平台設計不慎,就可能導致企業最核心的機密完全曝光。

(首圖來源:pixabay



立即預約免費諮詢
找出最適合您的財務方案

預約去
LINE 線上諮詢