Postman çalışma alanları kullanan birçok kuruluş, verilerini risk altına sokuyorAraştırmacılar on binlerce halka açık çalışma alanının veri sızdırdığını tespit ettiSızan veriler, üçüncü taraf API’ları hakkında hassas bilgiler içeriyor

Postman çalışma alanları kullanan birçok kuruluş, çalışanlarını, müşterilerini ve ortaklarını çeşitli yanlış yapılandırmalar nedeniyle risk altında bırakıyorlar, uzmanlar uyarıyor.CloudSEK’in Triad ekibi, hassas bilgiler sızdıran 30.000’den fazla halka açık Postman çalışma alanını buldu.Postman hakkında bilmeyenler için, API geliştirme için işbirlikçi bir platform olan Postman, genellikle API’leri oluşturmak, test etmek, paylaşmak ve yönetmek için genel bir çalışma alanı olarak kullanılmaktadır. Geliştiricilere, API yaşam döngüsünü tasarlamadan test etmeye, belgelemeye ve dağıtıma kadar akıcı bir şekilde sağlamak için araçlar sunar.
Yaygın yapılandırma hataları
CloudSEK, bu on binlerce halka açık çalışma alanınin hassas üçüncü taraf API’ları hakkında hassas bilgileri sızdırdığını söyledi; bu bilgiler arasında erişim belirtecileri, yenileme belirtecileri ve üçüncü taraf API anahtarları bulunmaktadır. Ortaya çıkan hassas bilgiler arasında yönetici kimlik bilgileri, ödeme işleme API anahtarları ve iç sistemlere erişim bulunmaktadır.Birçok farklı büyüklükte şirketin veri sızdırdığı belirtildi, araştırmacılar, SMB’lerden büyük şirketlere kadar. Sızdırılan API anahtarlarının ve erişim belirtkelerinin bazı sahipleri hala belirsizdir, çünkü yetersiz izinler ve API sınırlamaları araştırmacıların bunları belirlemesini engelledi.Etkilenen önemli platformlar arasında GitHub (5.924 maruziyet), Slack (5.552) ve Salesforce (4.206) bulunurken, en fazla etkilenen sektörler arasında sağlık, spor giyim ve finansal hizmetler yer almaktadır.Yaygın yapılandırma hataları, CloudSEK’ye göre kuruluşları “önemli güvenlik risklerine” maruz bırakmaktadır, bu da “ciddi finansal ve itibari zararlar” içermektedir.Araştırmacılar, “Postman çalışma alanları genellikle API anahtarları, belirteçler, kimlik bilgileri ve belgelere” hassas veriler içerdiğini belirtti. “Bu veriler kötüye kullanıldığında, bu veri finansal dolandırıcılık, veri sızıntıları ve itibari zararlar için zayıf noktaları istismar edebilen kötü niyetli aktörler için bir hazineye dönüşür.”CloudSEK, bu olayların çoğunu ilgili kuruluşlara bildirdiğini ancak kaçının yanıt verdiğini ve ne şekilde yanıt verdiğini açıklamadı. Hassas verilerin halka açık çalışma alanlarında bulunduğunda kullanıcılara bildirim ve proaktif sır tespiti gibi yeni güvenlik önlemleri uygulandığını belirtti.