{"id":23619,"date":"2025-12-07T08:00:00","date_gmt":"2025-12-07T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23619"},"modified":"2025-12-07T12:04:24","modified_gmt":"2025-12-07T15:04:24","slug":"a-porta-aberta-que-nao-deveria-existir","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/12\/exploits\/a-porta-aberta-que-nao-deveria-existir\/","title":{"rendered":"A porta aberta que n\u00e3o deveria existir"},"content":{"rendered":"\n

A porta aberta que n\u00e3o deveria existir: Como ferramentas de formata\u00e7\u00e3o de c\u00f3digo se tornaram um celeiro de segredos corporativos<\/strong><\/p>\n

O cen\u00e1rio da ciberseguran\u00e7a frequentemente se concentra em ataques sofisticados: explora\u00e7\u00f5es de dia zero, malwares polim\u00f3rficos e campanhas de phishing elaboradas. No entanto, um incidente recente investigado pela watchTowr Labs serve como um lembrete contundente de que uma das maiores vulnerabilidades pode ser a mais simples: a combina\u00e7\u00e3o de conveni\u00eancia, falta de conscientiza\u00e7\u00e3o e um design de plataforma que ignora os princ\u00edpios mais b\u00e1sicos de seguran\u00e7a. A descoberta de milhares de credenciais, chaves de API e segredos sens\u00edveis vazados publicamente atrav\u00e9s das populares ferramentas online JSONFormatter e CodeBeautify n\u00e3o \u00e9 apenas um vazamento de dados; \u00e9 um sintoma de um problema cultural e operacional profundamente enraizado na ind\u00fastria de tecnologia.<\/p>\n

\u00a0<\/p>\n

A g\u00eanese do vazamento: Uma funcionalidade de “Salvar” com consequ\u00eancias n\u00e3o intencionais<\/strong><\/p>\n

A mec\u00e2nica por tr\u00e1s deste vazamento massivo \u00e9, em sua ess\u00eancia, assustadoramente simples. O JSONFormatter e o CodeBeautify s\u00e3o ferramentas web gratuitas e amplamente utilizadas para formatar, validar e “embelezar” c\u00f3digo, especialmente JSON, tornando-o leg\u00edvel para depura\u00e7\u00e3o. A funcionalidade problem\u00e1tica reside em um bot\u00e3o aparentemente in\u00f3cuo:\u00a0“Salvar”<\/strong>.<\/p>\n

Ao clicar neste bot\u00e3o, a plataforma gera um URL \u00fanico e compartilh\u00e1vel para o conte\u00fado formatado. O problema crucial \u00e9 que, para a grande maioria dos usu\u00e1rios, esse processo acontece sem qualquer tipo de autentica\u00e7\u00e3o ou aviso claro sobre a publicidade do resultado. O conte\u00fado salvo \u00e9 automaticamente indexado em uma p\u00e1gina p\u00fablica de\u00a0“Links Recentes”<\/strong>, que lista dezenas de milhares de submiss\u00f5es de todos os usu\u00e1rios. Para piorar, a estrutura desses URLs segue um padr\u00e3o previs\u00edvel (como\u00a0jsonformatter.org\/{id}<\/code>), permitindo que qualquer pessoa, com um\u00a0crawler<\/em>\u00a0b\u00e1sico, itere por IDs e recupere sistematicamente todo o conte\u00fado salvo na plataforma.<\/p>\n

Os pesquisadores da watchTowr aproveitaram essa falha de design e realizaram uma varredura abrangente, coletando um conjunto de dados de\u00a0mais de 80.000 arquivos salvos<\/strong>, totalizando\u00a0mais de 5 GB<\/strong>\u00a0de dados. Este acervo continha cinco anos de hist\u00f3rico do JSONFormatter e um ano do CodeBeautify.<\/p>\n

\u00a0<\/p>\n

O tesouro dos ataques: A natureza e a origem dos segredos expostos<\/strong><\/p>\n

A an\u00e1lise do conte\u00fado coletado revelou uma exposi\u00e7\u00e3o de gravidade alarmante, afetando setores cr\u00edticos e altamente regulados. A lista de segredos encontrados \u00e9 um cat\u00e1logo dos ativos mais valiosos e perigosos que uma organiza\u00e7\u00e3o pode possuir:<\/p>\n