--- title: "Seu 'Ctrl+C, Ctrl+V' Pode Ser um Desastre: Sites de Formatação de Código Vazam Senhas de Governos e Bancos" author: "Ignácio Afonso" date: "2025-12-02 08:51:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/12/02/seu-ctrlc-ctrlv-pode-ser-um-desastre-sites-de-formatacao-de-codigo-vazam-senhas-de-governos-e-bancos/md" --- ## Um Hábito Inocente, Um Risco Gigantesco Na vida de um desenvolvedor, poucas coisas são tão rotineiras quanto o bom e velho 'Ctrl+C, Ctrl+V'. Copiar um bloco de código, seja ele JSON, SQL ou qualquer outro formato, e colá-lo em um formatador online para organizá-lo é um gesto quase automático, um atalho para a clareza e a produtividade. O que ninguém esperava é que esse simples ato pudesse ser a porta de entrada para um desastre de segurança. Uma pesquisa recente da empresa de cibersegurança WatchTowr revelou que populares sites de formatação, como JSONFormatter e CodeBeautify, transformaram essa conveniência em um pesadelo, expondo milhares de informações confidenciais de empresas e até governos. A investigação, que parece saída de um documentário sobre arqueologia digital, desenterrou mais de 80.000 arquivos JSON, totalizando mais de 5 GB de dados históricos. E o conteúdo não era trivial. Estamos falando de chaves de API, credenciais de administrador, chaves privadas, registros de SSH e até mesmo exportações completas do AWS Secrets Manager. Setores críticos como governo, finanças, saúde pública e telecomunicações foram diretamente afetados, tudo por conta de uma funcionalidade que deveria ajudar, e não expor. ## O Ctrl+C Mais Caro da História A raiz do problema é tão simples que chega a ser irônica. As ferramentas de 'Salvar' e 'Links Recentes' desses sites, criadas para permitir que os usuários guardassem seu trabalho, geravam URLs públicas e, pior, previsíveis. Como aponta o relatório da WatchTowr, um usuário desatento que colasse dados sensíveis e clicasse em 'Salvar' estava, na prática, publicando essas informações na internet para quem quisesse ver. Bastava um pouco de curiosidade para acessar os uploads recentes de uma determinada organização. Imagine a cena: um programador de uma grande instituição financeira cola um arquivo de configuração para organizá-lo. Ao final da URL do site, ele poderia encontrar algo como 'BancoImportante/Recentes', uma página que listava tudo o que seus colegas haviam enviado para a plataforma. É o equivalente digital a anotar a senha do cofre em um guardanapo e esquecê-lo na mesa de um café público. A WatchTowr confirmou que essa vulnerabilidade não era apenas teórica; hackers já estavam explorando ativamente essas plataformas para coletar dados e planejar ataques futuros. ## Um Baú do Tesouro (Aberto) para Criminosos A diversidade de dados encontrados pela WatchTowr é assustadora e demonstra uma negligência grave com a segurança corporativa. Entre os achados mais preocupantes estavam: **Credenciais de Acesso:** Senhas e logins para bases de dados Docker, JFrog, Grafana e muitos outros sistemas críticos.**Segredos Governamentais:** Configurações internas de órgãos governamentais foram expostas através de scripts PowerShell colados na íntegra.**Chaves de Infraestrutura:** Chaves de API, chaves de nuvem e registros SSH, que poderiam dar a um invasor controle total sobre a infraestrutura de uma empresa.**Dados de Empresas de Segurança:** Em um dos casos mais emblemáticos, credenciais encriptadas do sistema Jenkins, ligadas à renomada empresa de segurança MITRE, foram vazadas devido a uma exportação mal feita por um estudante.Esses vazamentos não são apenas números. Cada chave de API exposta é uma porta aberta, cada credencial vazada é um convite para um ataque. A pesquisa da WatchTowr serve como um lembrete severo de que a conveniência nunca pode se sobrepor aos princípios básicos de segurança da informação. ## Um Silêncio Que Custa Caro Talvez a parte mais frustrante da história seja a falta de resposta. Os pesquisadores da WatchTowr afirmam ter passado meses tentando alertar as organizações e instituições de segurança afetadas, mas a maioria dos avisos foi recebida com silêncio. Diante da exploração ativa da falha por criminosos, a empresa decidiu tornar a pesquisa pública, argumentando que o risco já era real e que a comunidade precisava estar ciente. Como os próprios pesquisadores finalizaram, de forma um tanto ácida, o problema do futuro não é a falta de plataformas de IA avançadas. O verdadeiro problema é ter 'organizações críticas colando credenciais em sites aleatórios'. Fica a lição: a tecnologia mais robusta e a defesa mais cara do mundo são inúteis se a porta da frente for deixada aberta por um simples descuido. No fim das contas, a segurança digital ainda depende, e muito, do bom e velho senso comum.