2024年12月,CloudSEK的TRIAD团队发现了因滥用流行的基于云的API开发和测试平台Postman Workspaces而产生的严重安全漏洞和风险。
在为期一年的调查中,研究人员发现超过30000个可公开访问的工作区泄露了有关第三方API的敏感信息,包括访问令牌、刷新令牌和第三方API密钥,对企业和个人构成严重风险。
根据该公司的报告 ,泄露的数据涉及各行各业,从小型企业到大型企业,影响了GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务,使组织面临众多威胁和安全风险。
研究人员指出,导致这些数据泄露的常见做法包括无意中共享Postman集合、错误配置访问控制、与可公开访问的存储库同步以及以未加密的纯文本形式存储敏感数据。
这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥以及对内部系统的访问权限,可能会给受影响的组织带来财务和声誉损失。
Postman中的敏感数据泄露可能会对个人开发者和整个组织产生严重影响。据报道,api.github.com、slack.com和hooks.slack.com等顶级API服务暴露的机密最多。Salesforce.com、login.microsoftonline.com和graph.facebook.com等知名服务也已暴露。
泄露的API密钥或访问令牌可以让攻击者直接访问关键系统和数据,从而可能导致数据泄露、未经授权的系统访问以及网络钓鱼和社会工程攻击的增加。
Postman通常存储敏感信息,例如API密钥、机密和PII,用于身份验证和与API通信。为了确保数据安全,组织应明智地使用环境变量、限制权限、避免使用长期令牌、使用外部机密管理,并在共享任何集合或环境之前仔细检查。
CloudSEK 负责任地向受影响的组织报告了大多数已发现的事件,帮助降低风险。为了防止此类暴露,CloudSEK敦促组织采取更可靠的安全措施,例如使用环境变量来避免对敏感数据进行硬编码、限制权限、频繁轮换令牌、利用机密管理工具以及在共享之前仔细检查集合。
此外,Postman还实施了 一项秘密保护政策,以防止在发现这些秘密后在公共工作区中暴露敏感数据。如果检测到秘密,该政策会向用户发出警报,提供解决方案,并促进向私人或团队工作区的过渡。
“从本月开始,我们将从公共API网络中删除已知暴露机密的公共工作区。随着我们推出这一政策变化,包含机密的公共工作区的所有者将收到通知,并有机会在该工作区从网络中删除之前删除其暴露的机密,”该公司指出。
评论已关闭。