Postman Workspaces泄露超3万个API密钥和敏感令牌

admin 2024年12月26日14:30:23评论14 views字数 1128阅读3分45秒阅读模式
Postman Workspaces泄露超3万个API密钥和敏感令牌
Postman Workspaces泄露超3万个API密钥和敏感令牌

E安全消息,近期CloudSEK的TRIAD团队发现了Postman Workspaces(一个流行的基于云的API开发和测试平台)的严重安全漏洞和风险。

在为期一年的调查中,研究人员发现超过30,000个公开可访问的工作区泄露了关于第三方API的敏感信息,包括访问令牌、刷新令牌和第三方API密钥。

根据该公司与Hackread.com分享的报告,泄露的数据涵盖了各个行业从小型企业到大型企业,影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务,使组织面临众多威胁和安全风险。

研究人员指出,导致这些数据泄露的常见做法包括无意中共享Postman集合、访问控制配置错误、与公开可访问的存储库同步,以及在未经加密的情况下以明文形式存储敏感数据

这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥和对内部系统的访问权限,可能导致受影响组织遭受财务和声誉损害。

Postman中的敏感数据泄露对个人开发者和整个组织都可能产生重大影响。据报道,像api.github.com、slack.com和hooks.slack.com这样的顶级API服务拥有更多的暴露秘密。Salesforce.com、login.microsoftonline.com和graph.facebook.com等高知名度服务也已被曝光。
Postman Workspaces泄露超3万个API密钥和敏感令牌
ZenDesk凭据泄露和Razorpay API密钥泄露
(来源CloudSec)

泄露的API密钥或访问令牌可以为攻击者提供对关键系统和数据的直接访问权限,可能导致数据泄露、未经授权的系统访问以及增加网络钓鱼和社会工程攻击。

Postman通常存储敏感信息,如API密钥、秘密和个人身份信息(PII)。为确保数据安全,组织应明智地使用环境变量,限制权限,避免使用长期令牌,使用外部秘密管理,并在共享任何集合或环境之前进行双重检查。

为了防止此类暴露,CloudSEK敦促组织采取更可靠的安全措施,例如使用环境变量以避免硬编码敏感数据,限制权限,频繁轮换令牌,利用机密管理工具,并在共享之前仔细检查集合。

此外,Postman在披露这些发现后实施了一项秘密保护策略,以防止敏感数据在公共工作区中被暴露。该策略会在检测到机密时提醒用户,提供解决方案,并促进过渡到私有或团队工作区。

“从本月开始,我们将从公有API网络中移除那些已知含有暴露密钥的公共工作区。随着我们推出这项政策变更,含有密钥的公共工作区的所有者将会被通知,并有机会在他们的工作区被从网络中移除之前,先移除那些暴露的密钥。”公司指出。

原文始发于微信公众号(E安全):Postman Workspaces泄露超3万个API密钥和敏感令牌

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月26日14:30:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Postman Workspaces泄露超3万个API密钥和敏感令牌https://cn-sec.com/archives/3555787.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息