Один клик — и паспортные данные в публичной ленте. Что нашли в архивах онлайн-форматтеров JSON
NewsMakerОбычная вкладка браузера стала лучшим хранилищем секретов для всех желающих.
Компания Beyondmemory изучила около 200 000 документов, которые пользователи сохраняли через семейство сервисов для форматирования JSON и кода, включая jsonformatter.org и codebeautify.org. Эти сервисы позволяют привести текст в читаемый вид, сохранить результат по ссылке и затем показать сохранённые вставки в публичной ленте «Recent Links».
По данным Beyondmemory, исследователи собирали материал около семи лет и завершили работу в мае 2026 года. Специалисты нашли не только персональные данные, но и рабочие ключи доступа , токены, строки подключения к базам данных, внутренние служебные записи и фрагменты рабочих процессов с помощниками на базе искусственного интеллекта.
Главная проблема оказалась не во взломе. Данные становились публичными потому, что разработчики сами вставляли рабочие фрагменты в сторонний сервис, а сервис сохранял такие вставки и показывал ссылки на них в открытом списке. Чтобы получить данные, не требовались пароль, учётная запись или обход защиты.
В корпусе Beyondmemory нашла не менее 1078 документов, которые с высокой вероятностью содержали учётные данные , идентификаторы или действующие секреты. Ещё 2167 документов получили среднюю оценку риска. Среди находок были ключи Amazon Web Services, Google Cloud, SendGrid, Stripe, строки подключения к MongoDB, токены сеансов, закрытые ключи и данные клиентов.
Отдельную часть отчёта специалисты посвятили Турции. Первичный поиск дал 2087 документов на турецком языке, 800 материалов с признаками персональных данных, 262 документа с номерами TCKN, прошедшими контрольную проверку, 40 турецких IBAN и 18 019 номеров телефонов в турецком формате. После ручной проверки часть совпадений отбросили как ложные, но оставшиеся случаи показали реальные утечки.
В открытых вставках нашли данные граждан, банковские сведения, страховые записи, электронные счета и таблицы клиентов. В одном случае в публичной ссылке оказались имя, фамилия, национальный идентификатор, сведения об автомобиле и данные банковских карт. В другом случае сервис хранил список клиентов хостинговой компании, включая имена, телефоны, электронную почту и ключи для двухфакторной аутентификации.
Beyondmemory подчёркивает, что Турция не выглядит уникально уязвимой на фоне других стран. Проблема шире: разработчики во всём мире привыкли воспринимать онлайн-форматтер как обычную вкладку в браузере, хотя вставленный текст уходит на чужой сервер и может сохраниться в публичной ленте.
Новый слой риска связан с помощниками на базе искусственного интеллекта. В корпусе нашли сотни документов, похожих на системные инструкции, фрагменты баз знаний и запросы, которые разработчики готовили для отладки с помощью ИИ. В 98 документах обнаружили ключи к сервисам искусственного интеллекта, включая Google AI, OpenAI и другие платформы.
Пока готовили отчёт, Beyondmemory также нашла уязвимость хранимого межсайтового скриптинга в самом jsonformatter.org. Из-за ошибки сохранённая вставка могла содержать код, который запускался в браузере посетителя при открытии страницы. По словам компании, об уязвимости сообщили оператору сервиса 3 июня 2026 года.
Специалисты считают, что компаниям нужно запретить доступ рабочих станций к публичным сервисам вставки и форматирования, форматировать JSON в локальных инструментах и отдельно контролировать рабочие процессы с ИИ-помощниками. Для регулируемых отраслей такую вставку данных в сторонний сервис следует считать обработкой персональных данных, а не безобидной технической мелочью.
Компания Beyondmemory изучила около 200 000 документов, которые пользователи сохраняли через семейство сервисов для форматирования JSON и кода, включая jsonformatter.org и codebeautify.org. Эти сервисы позволяют привести текст в читаемый вид, сохранить результат по ссылке и затем показать сохранённые вставки в публичной ленте «Recent Links».
По данным Beyondmemory, исследователи собирали материал около семи лет и завершили работу в мае 2026 года. Специалисты нашли не только персональные данные, но и рабочие ключи доступа , токены, строки подключения к базам данных, внутренние служебные записи и фрагменты рабочих процессов с помощниками на базе искусственного интеллекта.
Главная проблема оказалась не во взломе. Данные становились публичными потому, что разработчики сами вставляли рабочие фрагменты в сторонний сервис, а сервис сохранял такие вставки и показывал ссылки на них в открытом списке. Чтобы получить данные, не требовались пароль, учётная запись или обход защиты.
В корпусе Beyondmemory нашла не менее 1078 документов, которые с высокой вероятностью содержали учётные данные , идентификаторы или действующие секреты. Ещё 2167 документов получили среднюю оценку риска. Среди находок были ключи Amazon Web Services, Google Cloud, SendGrid, Stripe, строки подключения к MongoDB, токены сеансов, закрытые ключи и данные клиентов.
Отдельную часть отчёта специалисты посвятили Турции. Первичный поиск дал 2087 документов на турецком языке, 800 материалов с признаками персональных данных, 262 документа с номерами TCKN, прошедшими контрольную проверку, 40 турецких IBAN и 18 019 номеров телефонов в турецком формате. После ручной проверки часть совпадений отбросили как ложные, но оставшиеся случаи показали реальные утечки.
В открытых вставках нашли данные граждан, банковские сведения, страховые записи, электронные счета и таблицы клиентов. В одном случае в публичной ссылке оказались имя, фамилия, национальный идентификатор, сведения об автомобиле и данные банковских карт. В другом случае сервис хранил список клиентов хостинговой компании, включая имена, телефоны, электронную почту и ключи для двухфакторной аутентификации.
Beyondmemory подчёркивает, что Турция не выглядит уникально уязвимой на фоне других стран. Проблема шире: разработчики во всём мире привыкли воспринимать онлайн-форматтер как обычную вкладку в браузере, хотя вставленный текст уходит на чужой сервер и может сохраниться в публичной ленте.
Новый слой риска связан с помощниками на базе искусственного интеллекта. В корпусе нашли сотни документов, похожих на системные инструкции, фрагменты баз знаний и запросы, которые разработчики готовили для отладки с помощью ИИ. В 98 документах обнаружили ключи к сервисам искусственного интеллекта, включая Google AI, OpenAI и другие платформы.
Пока готовили отчёт, Beyondmemory также нашла уязвимость хранимого межсайтового скриптинга в самом jsonformatter.org. Из-за ошибки сохранённая вставка могла содержать код, который запускался в браузере посетителя при открытии страницы. По словам компании, об уязвимости сообщили оператору сервиса 3 июня 2026 года.
Специалисты считают, что компаниям нужно запретить доступ рабочих станций к публичным сервисам вставки и форматирования, форматировать JSON в локальных инструментах и отдельно контролировать рабочие процессы с ИИ-помощниками. Для регулируемых отраслей такую вставку данных в сторонний сервис следует считать обработкой персональных данных, а не безобидной технической мелочью.