严重泄露：大量政府、金融及关键基础设施凭据因使用在线代码格式化工具遭窃取

主要观点总结

WatchTowr Labs报告指出，全球政府机构、电信及关键基础设施组织面临数据泄露风险，因为员工在使用在线代码格式化工具时无意中粘贴并保存了敏感凭据。这些工具中的“保存”功能成为数据泄露的漏洞，导致多种敏感信息泄露，包括用户名、密码、API密钥等。受影响组织涉及多个领域，包括网络安全行业本身。黑客已在野利用这一漏洞进行攻击。厂商已回应并整改，禁用“保存”功能。针对此事件，建议加强员工培训、部署本地工具、监控与检测。

关键观点总结

关键观点1: 数据泄露风险

员工使用在线代码格式化工具时无意中粘贴并保存敏感凭据，导致全球政府机构、电信及关键基础设施组织面临数据泄露风险。

关键观点2: 敏感信息泄露

泄露的数据类型包括用户名、密码、API密钥、Active Directory凭据等，涉及多个关键领域，包括金融、保险、银行、科技零售等。

关键观点3: 黑客利用漏洞攻击

实验显示，黑客正在主动搜刮这些公共资源并验证凭据，对相关组织构成即时威胁。

关键观点4: 厂商回应与整改

JSONFormatter和CodeBeautify已禁用“保存”功能，并声称正在改进，实施增强的NSFW内容预防措施。

关键观点5: 安全建议

加强员工意识培训，部署本地工具，监控与检测网络日志，审查是否有异常数据上传行为，定期扫描公开网络以排查泄露凭据。