Postman 大量企业生产数据泄露，可直接接管后台！！！

概括 

• TRIAD 团队利用 CloudSEK 的XVigil，发现了因不当使用 Postman 工作区（一种流行的基于云的 API 开发和测试平台）而产生的重大风险。

• 在这篇博客中，我们将介绍一些有趣但关键的事件，这些事件可能导致大量客户 PII 数据泄露、通过接管滥用组织拥有的合法服务、发起恶意活动等。

• 我们长达一年的调查发现，超过 30,000 个可公开访问的 Postman 工作区正在泄露敏感信息。在大多数情况下，这些集合包括访问令牌、刷新令牌、第三方 API 密钥，甚至来自不同规模和不同行业的组织的测试或演示用户数据。虽然许多泄露的第三方 API 密钥和令牌实例可以追溯到 API 架构中权限不足或限制阻碍正确识别所有者，但最终来源通常仍然未知。

• 大多数已发现的事件都已归咎于相关组织并得到负责任地报告。

‍

‍

Postman 中的敏感数据泄露：你需要知道什么

在快节奏的 API 开发和测试领域，Postman 已成为开发人员和组织的首选工具。它的易用性、多功能性和协作功能使其不可或缺。然而，能力越大，责任越大，风险也越大。Postman 环境通常包含敏感数据，从 API 密钥和令牌到机密业务逻辑，如果处理不当，它将成为恶意行为者的潜在金矿。API
密钥、文档、凭据和令牌等敏感信息通常最终会通过 Postman 集合暴露，从而造成严重的安全漏洞。使用 CloudSEK 的XVigil，我们发现了多起敏感数据被无意泄露的实例，强调了对更好的安全实践和意识的迫切需求。

案例研究：来自各种已报道的事件

通过 Okta IAM API 泄露各种业务和内部数据

由于第三方供应商泄露了其中一个私有 Postman 工作区，运动服装和鞋类行业的一家领先组织可能已受到攻击。工作区中的请求连同有效凭证和访问令牌一起发送到组织的 Okta IAM 。通过该访问权限，任何威胁行为者都可以访问 Postman 工作区中提到的该品牌的其他内部 API。由于这些访问，恶意行为者可以窃取各种发票、交易内容、属性、装运详细信息以及各种商业数据。 

‍

‍

影响分析：

• 未经授权的用户访问公司的内部 API 会产生深远而重大的影响。威胁行为者不仅可以操纵记录并采取未经授权的行动（导致组织遭受财务和声誉损害），还可以访问机密数据。在极端情况下，整个公司数据库都可能面临风险。

• 此外，如果没有适当的跟踪和监控系统，很难识别未经授权的修改或操作。所有这些都会直接影响公司、客户和员工的安全性和可靠性。 

‍

通过泄露的 Zendesk 凭证泄露各种医疗保健客户和内部数据

一家大型医疗保健公司可能遭遇重大数据泄露，泄露客户信息以及具有完全管理员权限的支持门户访问权限，原因是发现公共 Postman 工作区泄露了高度敏感的信息，包括有效的 ZenDesk 管理员凭据。这种暴露是一颗定时炸弹，可能导致客户数据泄露和未经授权访问组织的 ZenDesk 支持门户——这些风险可能严重影响声誉和财务状况。

‍

‍

暴露的 ZenDesk 凭证仍然有效，可能允许恶意行为者以完全管理员权限登录支持门户。这意味着他们可以执行关键操作，例如以组织的名义创建或修改社区文章，从而进一步扩大潜在损害。

‍

‍

‍

泄露的 Razorpay API 凭证。

在我们的调查过程中，我们发现 Razorpay API 密钥在公开共享的 Postman 工作区中被意外泄露的多个实例。这些密钥旨在实现与 Razorpay API 的安全通信，但却未受到保护，因此很容易受到未经授权的访问。

这种疏忽很容易让威胁者利用暴露的密钥，从而可能导致金融欺诈或滥用支付系统。这清楚地提醒我们保护敏感凭证的重要性，尤其是在协作环境中。

‍

‍

泄露的 API 密钥可能会造成灾难性的后果，包括未经授权的交易导致财务损失、泄露敏感客户数据以及信誉受损，因为信任和合规性会受到影响。企业还可能面临运营中断，因为在解决滥用后果的同时撤销和重新生成密钥可能会中断正常的工作流程。

‍

‍

‍

会话机密和 API 调用的刷新令牌被泄露

我们在公共 Postman 工作区中发现了一个严重漏洞，其中暴露了某款主流 CRM 软件的刷新令牌和会话机密。更糟糕的是，生成访问令牌的 API 端点也包含在内，未经授权的用户可能会利用整个令牌生命周期。

‍

‍

刷新令牌和会话密钥的泄露为严重风险打开了大门。攻击者可以使用它们生成有效的访问令牌，从而未经授权访问敏感 API。这不仅使数据面临风险，还会导致会话劫持，即利用用户会话进行数据窃取或服务滥用。更糟糕的是，如果其他详细信息也被泄露，攻击者可能会扩大访问权限，进一步破坏系统，甚至冒充合法用户，从而使影响更加严重。

‍

‍

‍

泄露的 NewRelic API 凭证

工作区中的请求与有效的 API 密钥一起发送给大型软件公司的New Relic API（日志监控和分析软件）。威胁行为者可以访问日志文件、微服务、内部端点和标头。这可能使他们能够访问系统和应用程序日志、产品使用数据、网络流量数据和用户凭据，这些信息提供了有关您的公司及其内部基础设施的大量信息。

‍

‍

为了 POC 目的，我们还重现了公开的 Postman 工作区中提到的查询。此查询将为给定的仪表板页面实体 GUID 生成一个公共 URL。然后可以在生成的公共 URL 中以静态快照的形式访问仪表板页面。

‍

curl --location 'https://api.newrelic.com/graphql' --header 'API 密钥：NRAK-257VYH6ITPM09G0M71C6FX48J82' --header 'Content-Type：application/json' --header 'guid：MTcyMTQ0MnxWSVp8REFTSEJPQVJEfGRhOjQxMTM1' --data '{"query":"mutation ($guid：EntityGuid！) {rndashboardCreateSnapshotUrl(guid：$guid，params：{timeWindow：{duration：604800000}})rn}rnrn","variables":{"guid":"MTcyMTQ0MnxWSVp8REFTSEJPQVJEfDEyNTE1MTM"}}'

‍

‍

在浏览器中访问该 URL 后，您将获得仪表板详细信息。 

‍

‍

Postman Workspace 中的 API 文档泄露 

在本案中，Postman 工作区被发现公开暴露了 API 文档，包括有关端点、请求参数、身份验证方法和错误代码的详细信息。更糟糕的是，一个工作令牌也被泄露。 

‍

‍

这种暴露可能会带来严重后果：攻击者可能会利用详细的终端信息来利用漏洞或访问受限资源，从而大大增加 SQL 注入或拒绝服务攻击等针对性威胁的攻击面。此外，竞争对手或恶意行为者可能会深入了解专有业务逻辑，危及机密性并为他们带来不公平的优势。

‍

‍

在这个特定案例中，该 API 被用来代表组织使用其 WhatsApp 帐户发送 WhatsApp 消息。研究人员使用令牌可以完全控制该帐户，并可以向用户发送任何类型的短信/消息，这很容易被用来诱骗用户安装恶意软件或获取他们的凭据。

‍

‍

Postman 中敏感数据泄露是如何发生的

Postman 中存在几种常见场景和做法，会导致敏感数据泄露。这些情况通常是由于访问控制不足、意外共享和不安全的存储做法造成的。 

‍

Postman 集合是一组结构化的 API 请求，由参数、标头和身份验证详细信息等相关数据组织，旨在简化测试和协作。

‍

以下是数据泄露的一些常见原因：

• 无意间共享收藏品和环境

Postman 最强大的功能之一是其协作功能，它允许团队成员共享集合和环境以实现高效开发。但是，如果敏感数据嵌入共享集合中，这也可能导致意外暴露。当包含敏感变量的环境在团队之间或与外部协作者共享时，未经授权的用户可能会访问机密信息。

• 与可公开访问的存储库同步

在某些情况下，Postman 集合和环境文件会同步或导出并存储在 GitHub 等公共存储库中。如果在上传这些文件之前未对敏感数据进行屏蔽或清理，则任何有权访问存储库的人都可以访问这些数据。这是一个常见的漏洞，因为开发人员可能会无意中发布令牌或机密而没有意识到其影响。

• 访问控制配置错误

Postman 允许用户设置不同级别的权限，但配置错误的访问控制可能会导致访问权限过大，而原本应该受限制的访问权限却被滥用。如果敏感环境在整个组织范围内共享，甚至被错误地公开，则可能导致大量数据泄露。

• 以纯文本形式存储敏感数据

Postman 通常以纯文本格式保存环境变量和其他数据，任何有权访问 Postman 工作区或环境文件的用户都可以查看这些数据。本地存储或共享的敏感信息缺乏加密，因此很容易受到泄露，尤其是在共享或受感染的设备上。

• 使用长期令牌而无需轮换

在 API 测试中，通常使用令牌来验证请求。许多团队选择使用长期令牌，以避免不断重新验证。但是，如果这些令牌不经常轮换或被硬编码到 Postman 中，它们可能会成为高价值目标。如果暴露，这些令牌可能会提供对系统的长期未经授权的访问。

Postman 中敏感数据泄露的影响

Postman 中的敏感数据泄露可能会对个人开发人员和整个组织造成严重后果。例如，泄露的 API 密钥或访问令牌可以让攻击者直接访问关键系统和数据，从而可能导致：

• 数据泄露：攻击者可以利用暴露的密钥访问和窃取敏感数据，从而导致财务损失、声誉损害和监管处罚。

• 未经授权的系统访问：如果攻击者控制了令牌或凭证，他们就可以冒充合法用户或应用程序，授予他们未经授权访问内部系统或服务的权限。

• 网络钓鱼和社会工程攻击增加：攻击者可以使用泄露的凭证发起有针对性的攻击，例如网络钓鱼或社会工程，以进一步渗透组织。

‍

Postman 工作区是一个协作环境，用户可以在其中组织和与团队成员共享 API 集合、环境和其他资源，以简化开发和测试。

‍

这些数据突显了一个令人担忧的发现：超过3 万个 Postman Public 集合暴露了各种平台和服务中的敏感 API 密钥和凭据。以下是一些关键见解：

‍

• 顶级 API 服务泄露：api.github.com（5,924 次泄露）、slack.com（5,552 次泄露）和hooks.slack.com（4,961 次泄露）等平台占据榜单大部分，暴露的机密数量较大。

• 热门 API 服务泄漏：salesforce.com ( 4,206 )、login.microsoftonline.com ( 1,729 ) 和graph.facebook.com ( 1,174 )等备受瞩目的服务凸显了该问题的广泛性，影响到了关键的云、社交媒体和商业生态系统。

• 多种 API 服务泄露：暴露范围从以开发人员为中心的工具（如api.twilio.com（283）和api.openai.com（262））到电子商务和支付系统（如api.stripe.com（554）和api.razorpay.com（704）。

‍

‍

这些数据凸显了 API 安全实践中存在的巨大差距，并强调迫切需要对协作开发环境中 API 密钥和凭据的管理方式进行更严格的控制。可视化比例的饼图可以进一步突出顶级服务中泄漏的集中程度。

‍

‍

Postman 中存储的常见敏感数据类型

Postman 中经常使用敏感信息来对 API 进行身份验证和通信。这些数据通常包括：

• API 密钥和机密：授予 API 访问权限的唯一标识符，通常存储在 Postman 中，以便在测试期间轻松使用。

• 访问和刷新令牌：用于身份验证，特别是在 OAuth2 流中，这些令牌通常是长期有效的，如果泄露，可用于冒充合法用户。

• 用户名和密码：Postman 集合中有时会使用基本身份验证，这使得凭据容易受到泄露。

• 客户端机密和证书：对于加密通信至关重要，这些通常存储在 Postman 中以便于测试，但如果未经授权的用户访问，则可能会高度敏感。

• 环境变量：
  生产或暂存环境的配置设置，通常包括内部 URL 或敏感的操作数据。

个人身份信息 (PII)：客户或员工数据，如果处理不当，可能会导致隐私侵犯和合规性问题。

Postman 中防止数据泄露的最佳实践

为了保证 Postman 中敏感数据的安全，以下是一些最佳做法：

• 明智地使用环境变量：不要对敏感信息进行硬编码，而要对令牌和机密使用环境变量。但是，请确保安全地存储它们，并在不再需要时清除它们。

• 限制权限：仅与需要的人共享集合和环境。定期审查权限，避免在组织范围内共享敏感环境。

• 避免使用长效令牌：尽可能使用短效令牌，并考虑使用自动令牌轮换。这样可以限制令牌最终暴露时的影响。

• 使用外部机密管理：考虑集成可以安全存储和检索敏感信息的机密管理工具，而不是直接在 Postman 中保存机密。

• 监控和记录访问： Postman 提供跟踪共享和访问的活动日志。使用这些日志来审核谁访问了敏感数据并查找任何可疑活动。

• 共享前仔细检查：在共享任何集合或环境之前，请花点时间检查可能已保存在变量或请求中的敏感信息。

原文地址：

https://www.cloudsek.com/blog/postman-data-leaks-the-hidden-risks-lurking-in-your-workspaces

原文始发于微信公众号（OSINT研习社）：Postman 大量企业生产数据泄露，可直接接管后台！！！