多國政府與企業憑證遭外洩，兩大程式碼美化工具曝嚴重資安漏洞

兩個全球常用的程式碼輔助網站被爆出重大資安漏洞，大量來自多國政府、銀行、醫療等高風險產業的登入憑證、私鑰與驗證金鑰遭到外洩，且連結至今仍完全公開可見，引發國際資安圈高度警戒。

據國際資安媒體《Bleeping Computer》報導，資安公司 watchTowr 近期發現，JSONFormatter 與 CodeBeautify 兩個工具網站存在嚴重風險，使用者在整理程式碼後若選擇儲存結果，網站會產生可分享連結，但這些連結內含的所有內容完全未受保護，任何人都能開啟查看。

由於開發者經常在測試或排錯過程貼入含有 API key、Token 或驗證資訊的程式碼，因此這些連結成為高度敏感資訊的公開展示櫃。watchTowr 指出，其調查中發現：

• 超過五年的 JSONFormatter 外洩紀錄
• 一年份的 CodeBeautify 外洩紀錄

內容涵蓋所有開發環境中最敏感的機密資訊，包括：

• Active Directory 登入憑證
• 資料庫與雲端平台帳密
• 私鑰與 API Token
• 程式碼庫（Git）權杖
• CI/CD Pipeline 機密
• 金流與支付閘道金鑰
• SSH 工作階段錄影檔
• 大量個資（PII），包括 KYC（認識你的客戶）資料

其中甚至包含一組國際證券交易所 Splunk SOAR 系統所使用的 AWS 憑證，以及某銀行在託管安全服務供應商（MSSP）啟用流程 email 中外洩的帳密。watchTowr 也坦言，外洩資料內竟也包含「某家容易識別的資安公司自身的敏感資訊」，可見風險高度普遍。

更令人憂心的是，截至目前為止，這些公共連結仍可在兩個平台上自由存取，顯示問題尚未獲得妥善處理。

資安專家指出，此事件暴露開發者常見的錯誤習慣，將含有機密資訊的程式碼直接貼上第三方網站進行格式化，卻忽略平台是否會保存內容或產生持久性連結。若這些連結被搜尋引擎收錄，更可能被惡意掃描工具大量撈取，風險難以估計。

專家建議企業應立即：

• 檢查是否使用過相關工具並儘速更換所有憑證與金鑰。
• 替代使用本機工具或信任度較高的 IDE 內建功能。
• 建立開發人員資安教育，避免將敏感程式片段貼到公開網站。

此次事件再次凸顯開發環境中隱性風險的嚴重性，即便不是遭遇駭客攻擊，只要錯誤操作加上平台設計不慎，就可能導致企業最核心的機密完全曝光。

• Code beautifiers expose credentials from banks, govt, tech orgs

（首圖來源：pixabay）