Was als harmloser Helfer im Entwickleralltag beginnt, kann zum massiven Sicherheitsrisiko oder Datenleck werden: Neue Untersuchungen von watchTowr zeigen, dass zahlreiche Organisationen – darunter Behörden, Banken, Energieversorger, Telekommunikationsanbieter und sogar Cybersicherheitsfirmen – Passwörter, API-Schlüssel und andere vertrauliche Daten direkt in frei zugängliche Online-Tools wie JSONFormatter und CodeBeautify eingefügt haben.

Die Folgen sind gravierend: Über fünf Jahre hinweg wurden mehr als 80.000 Dateien öffentlich abrufbar gespeichert – darunter sensible Informationen wie Active-Directory-Zugangsdaten, Datenbank-Logins, Cloud-Schlüssel, KYC-Daten und interne Konfigurationsdateien. Insgesamt gingen dabei über 5 GB annotierter JSON-Daten ungewollt an die Öffentlichkeit.

Die Websites waren für Angreifer leicht auszulesen, da die gespeicherten Inhalte über vorhersagbare URLs erreichbar waren und eine öffentlich sichtbare „Recent Links“-Liste jeder Person Zugang ermöglichte. Dass solche Daten aktiv missbraucht werden, zeigte ein Experiment der Forscher: Als sie künstliche AWS-Schlüssel hochluden, versuchten Unbekannte bereits nach 48 Stunden, diese zu verwenden.

Inzwischen haben beide Online-Tool-Anbieter reagiert und die Speicherfunktion von JSONFormatter und CodeBeautify vorübergehend deaktiviert.

Wie man sich schützt: Die wichtigsten Maßnahmen für Entwickler, Admins und Unternehmen

Auch wenn JSONFormatter & Co. im ersten Moment bequem erscheinen – sie sind kein sicherer Ort für vertrauliche Informationen. Mit diesen Maßnahmen lässt sich das Risiko drastisch reduzieren:

1. Niemals Zugangsdaten in öffentliche Tools einfügen

Egal ob Passwort, API-Key, JSON-Config, Token oder SSH-Output: Wenn ein Tool ohne Login funktioniert, ist davon auszugehen, dass alles öffentlich abrufbar oder serverseitig gespeichert wird. Grundregel: Alles, was sensibel und geheim ist, darf nie in ein öffentliches Webformular eingegeben werden.

2. Sichere Offline-Tools verwenden

Für Formatierung, Validierung oder Beautifying gibt es zahlreiche Offline-Alternativen:

• lokale Editor-Plugins (VS Code, JetBrains, Sublime, Vim)
• Kommandozeilen-Tools wie jq
• Browser-Extensions, die rein lokal arbeiten

3. Unternehmensrichtlinien für Developer-Tools einführen

Viele Leaks entstehen aus Gewohnheit oder Zeitdruck. Unternehmen sollten definieren welche Tools intern erlaubt sind, welche Online-Dienste verboten sind, wie mit Konfigurationsdateien und Logs umzugehen ist, wie Credentials sicher gespeichert und ausgetauscht werden. Klare Vorgaben verhindern Fehler im Alltag.

4. Credential-Scanner automatisch einsetzen

Automatisierte Tools wie z. B. GitGuardian können verhindern, dass Passwörter oder Tokens überhaupt in Dateien gelangen. Solche Scanner erkennen typische Muster und schlagen Alarm, bevor Daten versehentlich hochgeladen werden.

5. Vorhersagbare URLs als Warnsignal erkennen

Tools, die Inhalte über einfache ID-Nummern zugänglich machen, sind per Definition unsicher. Wenn ein Online-Tool keine Authentifizierung erfordert und dennoch „Share“-Links bietet, ist Vorsicht geboten.

6. Regelmäßiges Rotieren aller Zugangsdaten

Sollten Credentials doch einmal versehentlich in falsche Hände geraten, reduziert eine regelmäßige Rotation über Secret-Management-Systeme das Schadenspotenzial.

7. Schulungen und Awareness

Der häufigste Grund für solche Datenlecks: Menschen machen es aus Versehen oder aus Bequemlichkeit.

Schulungen für Entwickler und Admins helfen, typische Fallstricke zu erkennen:

• Wo landen meine Daten, wenn ich sie in ein Formular kopiere?
• Welche Tools speichern Inhalte serverseitig?
• Welche Alternativen gibt es?

Sicherheitsbewusstsein ist oft wichtiger als Technologie.

Bequemlichkeit darf nicht über Sicherheit stehen

Der Vorfall zeigt eindrücklich, wie schnell hochsensible Informationen unbeabsichtigt im Netz landen können – nicht durch Hackerangriffe, sondern durch alltägliche Arbeitsgewohnheiten. Besonders brisant: Angreifer durchsuchen solche Seiten längst automatisiert und testen gefundene Logins und Schlüssel aktiv aus.

Zugangsdaten gehören nicht ins Web, sondern in sichere, kontrollierte Systeme! Mit klaren Richtlinien, sicheren Tools und etwas Aufmerksamkeit lassen sich solche Risiken nahezu vollständig vermeiden.