Postman Radni Prostor: Upozorenje na Rastegnutu Sigurnost Podataka
Mnoge organizacije koje koriste Postman radne prostore izlažu svoje podatke, zaposlenike, klijente i partnere riziku zbog različitih pogrešnih konfiguracija, upozoravaju stručnjaci. Tim Triad iz CloudSEK-a otkrio je više od 30,000 javno dostupnih Postman radnih prostora koji propuštaju osjetljive informacije.
Što je Postman?
Za one koji nisu upoznati, Postman je platforma za suradnju u razvoju API-ja. Često se koristi kao javni radni prostor za stvaranje, testiranje, dijeljenje i upravljanje API-jima. Postman pruža alate programerima kako bi pojednostavili životni ciklus API-ja, od dizajna i testiranja do dokumentacije i implementacije.
Propuštanje Osjetljivih Informacija
Prema CloudSEK-u, deseci tisuća javno dostupnih radnih prostora curi osjetljive informacije o trećim stranama API-ja, uključujući:
- pristupne tokene
- tokena za osvježavanje
- API ključeve trećih strana
Otkrivene osjetljive informacije uključuju administratorske akreditive, API ključeve za obradu plaćanja i pristup unutarnjim sustavima. Istraživači su također naveli da su podaci curili iz kompanija svih veličina, od malih i srednjih poduzeća do velikih korporacija. Neki vlasnici propuštenih API ključeva i pristupnih tokena još uvijek nisu identificirani zbog nedovoljnih ovlaštenja i ograničenja API-ja koja su spriječila istražitelje da ih identificiraju.
Utjecaj i Izloženost
Među važnim platformama koje su pogođene uključuju se:
- GitHub (5,924 izlaganja)
- Slack (5,552 izlaganja)
- Salesforce (4,206 izlaganja)
Najviše pogođeni sektori uključuju zdravstvo, sportsku odjeću i financijske usluge.
Rizici Lošeg Upravljanja Podacima
Istraživači su istaknuli da “Postman radni prostori često sadrže osjetljive podatke, uključujući API ključeve, tokene, akreditive i dokumentaciju.” Kada se ovi podaci loše upravljaju, postaju blago za zlonamjerne aktere sposobne iskoristiti ranjivosti za financijske prijevare, curenje podataka i štetu na ugledu.
Novosti o Sigurnosti
CloudSEK je prijavio većinu incidenata odgovarajućim organizacijama, ali nije raspravljao o tome koliko ih je odgovorilo. Postman je implementirao nove sigurnosne mjere, koje uključuju proaktivno otkrivanje tajni i obavijesti za korisnike kada se pronađu osjetljivi podaci u javnim radnim prostorima.
Završna Misao
Dok usvajate Postman kao alat za razvoj API-ja, imajte na umu važnost sigurnosti podataka. Pravilno upravljanje vašim radnim prostorima može značajno smanjiti rizike i zaštititi vašu organizaciju od potencijalnih prijetnji. Uvijek budite svjesni osjetljivih informacija koje se nalaze u vašim radnim prostorima i osigurajte da ih pravilno štitite.
