Code-Formatter-Dienste: Massenhaftes Leak von Zugangsdaten

Praktische Online-Tools für Entwickler werden zur Sicherheitsfalle. Über Jahre hinweg haben beliebte Code-Verschönerungs-Dienste sensible Zugangsdaten von Zehntausenden Nutzern öffentlich zugänglich gemacht – ein Alarmsignal für Unternehmen weltweit.

Sicherheitsforscher von watchTowr Labs enthüllten diese Woche, wie Plattformen wie JSONFormatter und CodeBeautify ungewollt über 80.000 vertrauliche Dateien ins Netz stellten. Betroffen sind Finanzinstitute, Gesundheitseinrichtungen, Behörden und Raumfahrtunternehmen. Der Grund? Eine vermeintlich harmlose Komfortfunktion.

Die Plattformen bieten Entwicklern einen kostenlosen Service: unleserlichen Programmcode automatisch zu formatieren und übersichtlich darzustellen. Besonders JSON-Daten werden täglich Tausende Male durch solche Tools gejagt.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und warum gerade Entwickler‑Tools zur schleichenden Schwachstelle werden. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt, wie Angreifer offene API‑Keys und Cloud‑Zugangsdaten aus Web‑Formatierern auslesen und welche kurzfristig wirksamen Maßnahmen IT‑Teams ergreifen sollten. Inklusive Checklisten für Proxies, Firewalls und Developer‑Richtlinien, die sofort umgesetzt werden können. Gratis-Cyber-Security-Report jetzt anfordern

Problematisch wurde eine scheinbar praktische Funktion: Nach dem Formatieren konnten Nutzer ihre Ergebnisse über einen “Speichern”-Button als Link teilen. Was viele nicht ahnten: Diese Links landeten auf öffentlich einsehbaren “Letzte Links”-Seiten.

Noch gravierender: Die URL-Strukturen folgten vorhersehbaren Mustern. Jeder mit Grundkenntnissen im Programmieren konnte systematisch Tausende dieser Adressen abgrasen und herunterladen. “Der Zugang zu diesen Daten hatte praktisch keine Hürde”, konstatiert der am Dienstag veröffentlichte Bericht.

Was alles durchsickerte

Die Dimension des Lecks erschreckt. In den analysierten Datensätzen fanden sich hochsensible Informationen, die niemals Firmennetze hätten verlassen dürfen.

Die Fundstücke im Detail:
* Cloud-Zugänge: Gültige Anmeldedaten für Amazon Web Services (AWS) und Microsoft Azure mit Administratorrechten
* Unternehmens-Identitäten: Active-Directory-Zugangsdaten und Single-Sign-On-Tokens von Mitarbeitern großer Banken
* API-Schlüssel: Private Zugänge zu Zahlungssystemen, internen Helpdesk-Lösungen und Softwarearchiven
* Personendaten: Kundeninformationen aus Datenbanken, die Entwickler zum Debugging hochgeladen hatten

Die Auswirkungen ziehen sich durch alle Branchen. Explizit erwähnt der Bericht “kritische Infrastruktur, Regierungsbehörden, Banken und sogar Cybersicherheitsfirmen”. In einem Fall lag ein kompletter Export des AWS Secrets Manager einer Organisation offen – sämtliche Zugangsdaten ihrer Cloud-Infrastruktur frei verfügbar.

Kriminelle greifen bereits zu

Noch beunruhigender: Angreifer nutzen diese Informationsquellen aktiv. Um die Reaktionsgeschwindigkeit zu testen, platzierten die Forscher gefälschte AWS-Schlüssel als Köder auf den Plattformen.

Das Ergebnis: Innerhalb von 48 Stunden erfolgten erste Zugriffsversuche. Selbst nach dem formalen “Ablauf” der Links auf der Plattform registrierten die Sicherheitsexperten verdächtige Aktivitäten. Cyberkriminelle archivieren die Daten offenbar in Echtzeit.

Diese Code-Verschönerungs-Dienste dienen Angreifern längst als kostenlose Datenbanken für hochwertige Zugangsinformationen. Kein passives Risiko mehr, sondern aktives Jagdrevier.

Schatten-IT schlägt wieder zu

Der Vorfall unterstreicht die Gefahren sogenannter “Shadow IT” – der Nutzung von Software ohne Freigabe der IT-Abteilung. Seit Jahren warnen Sicherheitsverantwortliche davor, sensible Daten in Web-Formulare Dritter einzugeben.

“Das Problem liegt mindestens ebenso im menschlichen Verhalten wie in der Technik”, erklärt Dr. Elena Kostic, leitende Cybersicherheitsanalystin aus München. “Entwickler stehen unter Zeitdruck. Sie kopieren einen unleserlichen JSON-Block in das erstbeste Google-Ergebnis, ohne zu realisieren, dass sie damit faktisch die Unternehmensgeheimnisse im Internet veröffentlichen.”

Alle Firewalls, Data-Loss-Prevention-Systeme und Perimeter-Sicherungen greifen nicht, wenn Mitarbeiter freiwillig Daten nach außen tragen. Der Fall reiht sich ein in frühere Sicherheitspannen mit Diensten wie Pastebin oder öffentlichen Trello-Boards – nur dass hier gezielt Entwickler-Tools zum Einfallstor werden.

Notmaßnahmen und Gegenstrategien

Nach der Offenlegung haben JSONFormatter und CodeBeautify die Speicher- und Verlinkungsfunktionen deaktiviert. Besucher finden heute deutlich eingeschränkte oder ganz abgeschaltete Sharing-Features vor.

Für die bereits abgegriffenen Daten kommt diese Reaktion zu spät. Sie zirkulieren weiter in Untergrundforen und Datenbanken von Cyberkriminellen.

Sicherheitsexperten empfehlen Unternehmen dringende Schritte:

1. Zugangsdaten erneuern: Sofortiger Austausch aller API-Schlüssel, Passwörter und Zertifikate, die möglicherweise über diese Tools liefen
2. Zugriffssperren: Firmen-Firewalls und Web-Proxys sollten ungeprüfte Online-Formatierer blockieren
3. Eigene Werkzeuge bereitstellen: Entwickler brauchen genehmigte Offline-Alternativen wie lokale IDE-Plugins

“Die Zeit, in der wir beliebigen Web-Tools unsere Firmendaten anvertrauten, muss enden”, betont Kostic. “Wenn ein Service kostenlos ist, sind oft der Nutzer und seine Daten das eigentliche Produkt. Hier war der Preis die Sicherheit der gesamten Unternehmensinfrastruktur.”

Die Branche wird reagieren müssen. Browser-basierte Sicherheitstools, die das Einfügen hochsensibler Zeichenketten wie API-Schlüssel in öffentliche Formulare erkennen und blockieren, dürften bald Standard werden. Bis dahin gilt für Entwickler eine simple Regel: Code und Geheimnisse gehören auf die eigene Maschine – nirgendwo sonst.

PS: Sie wollen unmittelbaren Schutz vor ähnlichen Lecks? Der kompakte Leitfaden zeigt, wie Browser‑basierte Schutzregeln, automatische Prüfungen auf API‑Schlüssel und Awareness‑Maßnahmen für Entwickler sensible Daten schützen – ohne große Investitionen. Ideal für Geschäftsführer, IT‑Verantwortliche und Security‑Teams, die Risiken wie offene AWS‑Secrets schnell minimieren möchten. Jetzt kostenlosen IT‑Sicherheitsleitfaden herunterladen