Istraživači su otkrili široko rasprostranjen i alarmantan trend koji uključuje breach podataka iz Postmana, široko korištene platforme za razvoj i testiranje API-ja zasnovane na cloud-u.
Istraga otkriva da je nepravilno upravljanje radnim prostorom Postmana rezultovalo sa preko 30.000 javno dostupnih zbirki koje otkrivaju osjetljive podatke, potencijalno otvarajući put za masovne povrede podataka i neovlaštenu zloupotrebu.
Godišnja analiza TRIAD tima istakla je kritične slučajeve u kojima su osjetljivi podaci kao što su API ključevi , pristupni tokeni, tokeni za osvježavanje, pa čak i vlasnički korisnički podaci nehotice procurili putem javnih kolekcija Poštara.
Ovi incidenti su prijavljeni u organizacijama svih veličina i iz različitih industrija. Izloženi podaci predstavljaju značajan sigurnosni rizik, omogućavajući hakerima da pokrenu maliciozne kampanje, zloupotrebe legitimne usluge i eksfiltriraju povjerljive informacije.
Primjeri izlaganja podataka i potencijalnih utjecaja
1. Okta IAM API curenje u atletskoj industriji
Velika kompanija za sportsku odjeću suočila se s rizikom interne manipulacije API-jem zbog procurjelih radnih prostora Postmana od dobavljača treće strane. Dobijanjem pristupa Okta IAM kredencijalima i tokenima pohranjenim u ovim radnim prostorima, haker bi potencijalno mogao eksfiltrirati osjetljive poslovne podatke, kao što su fakture, detalji o isporuci i informacije vezane za trgovinu.
Neovlašteni pristup internim API-jima može dovesti do dalekosežnih posljedica, uključujući kršenje podataka, finansijske gubitke i reputaciju. Bez robusnih sistema za praćenje, otkrivanje takvih neovlašćenih radnji bilo bi izazovno.
2. Zendesk administratorske kredencijale cure u zdravstvu
Zdravstvena firma je nenamjerno razotkrila aktivne akreditive Zendesk administratora kroz zajednički radni prostor Postman. Ovo je rizikovalo katastrofalni proboj, ugrožavajući i podatke korisnika i cjelokupni portal podrške organizacije.
Hakeri bi mogli iskoristiti ove krednecijale za pristup podacima o klijentima, manipulisati operacijama podrške, pa čak i kreirati phishing sheme, uzrokujući ozbiljnu finansijsku štetu i štetu brendu.
3. Razorpay API ključ curenja
Razorpay API ključevi su otkriveni u višestrukim radnim prostorima Postmana, ostavljajući sisteme plaćanja podložnim zloupotrebama. Ovaj propust mogao bi omogućiti napadačima da izvrše neovlaštene transakcije, što bi dovelo do finansijske prevare.
Izlaganje API ključeva za plaćanje moglo bi prekinuti operacije, narušiti povjerenje korisnika i natjerati organizacije da revidiraju svoje sisteme dok se bave finansijskim gubicima.
4. Curenje CRM tokena
Postman radni prostor je javno izložio token za osvježavanje i tajne sesije CRM softverske platforme , zajedno s krajnjom tačkom za generiranje tokena za pristup. Ovo je dalo napadačima mogućnost da otmu sesije ili direktno pristupe osjetljivim sistemima.
Neovlašteni pristup CRM sistemima može dovesti do krađe podataka, zloupotrebe usluga i dalje eskalacije napada kroz eksploataciju na nivou API-ja.
5. Izlaganje novih relic API kredencijala
Novi Relic API ključevi velike softverske kompanije su nenamjerno podijeljeni preko Postmana, omogućavajući potencijalni pristup internim evidencijama, mikroservisima i operativnim podacima.
Takvo izlaganje bi moglo otkriti vlasnički uvid u sistemsku infrastrukturu, aktivnosti korisnika i poslovne operacije, dajući napadačima prednost.
Istraga je utvrdila nekoliko faktora koji su doprinijeli ovim nenamjernim breach-om, uključujući:
Timovi često nenamjerno dijele API kolekcije koje sadrže osjetljive podatke, a da ih na odgovarajući način ne saniraju. Slično, programeri mogu slučajno prenijeti demaskirane kredencijale na javne platforme kao što je GitHub, otkrivajući kritične informacije.
Pogrešno konfigurisane kontrole pristupa dodatno pogoršavaju rizik, jer loše upravljane dozvole mogu dozvoliti neovlašćeni pristup osetljivim radnim prostorima. Osim toga, pohranjivanje osjetljivih informacija u otvorenom tekstu unutar kolekcija Postman ili datoteka okruženja čini ih lako dostupnim neovlaštenim stranama.
Upotreba dugotrajnih tokena bez redovne rotacije otežava ove probleme, povećavajući rizik od krađe podataka ako su takvi tokeni izloženi.
TRIAD-ovo istraživanje je također naglasilo veliku izloženost popularnim API uslugama:
- GitHub API: 5,924 kredencijala
- Slack API: Preko 10.000 kombinovanog breach-a.
- Salesforce, Microsoft, Razorpay i drugi bili su jako pogođeni, naglašavajući rasprostranjenu prirodu problema.
Kako bi se spriječilo takav breach podataka, TRIAD tim zagovara sljedeće najbolje prakse:
- Koristite varijable okruženja : Izbjegavajte tvrdo kodiranje osjetljivih podataka i umjesto toga ih sigurno pohranite u varijablama okruženja.
- Ograničite dozvole : Dijelite kolekcije i okruženja samo sa ovlaštenim osobljem i redovno imajte dozvole za reviziju.
- Često rotirajte tokene : Upotrijebite kratkotrajne tokene i automatizirajte njihovu rotaciju kad god je to moguće.
- Iskoristite alate za upravljanje tajnama : Koristite vanjske alate za sigurno pohranjivanje i upravljanje osjetljivim informacijama.
- Sprovedite redovne sigurnosne revizije : Nadgledajte evidenciju pristupa i pregledajte zajedničke kolekcije za potencijalne ranjivosti.
Postman–ov odgovor
Priznajući ozbiljnost ovih nalaza, Postman je poboljšao svoje sigurnosne mjere primjenom politike zaštite tajne. Ova politika proaktivno upozorava korisnike kada se u javnim radnim prostorima otkriju osjetljivi podaci i usmjerava ih prema korektivnim radnjama.
Ova ažuriranja naglašavaju Postmanovu posvećenost zaštiti korisničkih podataka i poboljšanju sigurnosti svoje javne API mreže
Nalazi TRIAD tima naglašavaju kritičnu važnost robusnih API sigurnosnih praksi u kolaborativnim okruženjima. Organizacije moraju dati prioritet sigurnom rukovanju API vjerodajnicama i podići svijest među programerima kako bi ublažile rizike povezane s alatima kao što je Postman.
Kako API-ji nastavljaju pokretati moderne aplikacije, osiguravanje njihove sigurnosti je imperativ za zaštitu osjetljivih podataka i održavanje povjerenja u digitalne ekosisteme.
Izvor: CyberSecurityNews