Postman iş sahələrində həssas məlumatlar: CloudSEK mütəxəssisləri hədə-üçün qabaqcıl təhlükəsizlik tapşırıqları açıqlayır.

Posted by:
Rauf Panahov
Bz, 29 Dek
0 Comment
Feature image

Postman iş sahələrindən istifadə edən bir çox təşkilat məlumatlarını riskə atmaqdadır.Tədqiqatçılar on minlərlə əsaslı hərəkət edilən iş sahəsi üzərindəki məlumatları aşkar etmişdir.Aşkar edilən məlumatlar üçüncü tərəf API haqqında həssas məlumatları əhatə edir.

Çoxsaylı mütəşəkkilər, işçilər, müştərilər və tərəfdaşları riskə atdığı üçün Postman iş sahələrindən istifadə edən bir çox təşkilatlara, müxtəlif təhlükələr barəsində mütəxəssislər xəbərdarlıq ediblər.CloudSEK-in Triad komandası, 30,000-dən çox ictimai nəqliyyatlı Postman iş sahələri açığa çıxardığını aşkar etmişdir.Postman-a tanımayanlar üçün, API inkişafı üçün bir əməkdaş platformdur, müxtəlif API-in yaradılması, sınaqdan keçirilməsi, paylaşılması və idarə olunmasında ictimai iş sahəsi olaraq tez-tez istifadə edilir. Bu, proqram təminatçılarına, API həyat dövrünü, tərtibatını, sınağını, sənədləndirməsini və tətbiqinin həyata keçirilməsini işləmələri üçün alətlər təmin edir.
Geniş yayılmış konfiqurasiyalar
CloudSEK dedi ki, bu on minlərlə ictimai iş sahəsi həssas məlumatları üçüncü tərəf API haqqında sızır, daxil olmaq üçün giriş tokenləri, yenilləmə tokenləri və üçüncü tərəf API açarları daxildir. Açıq qalmış həssas məlumatlar, idarəçi məlumatları, ödəniş emalı API açarları və daxili sistemlərə giriş daxil olmaqla həmcinslərini açığa çıxarmışdır.Şirkətlər, SMB-lərdən böyük müəssisələrə qədər fərqli formlardakı data sızmağa layiqdirlər, tədqiqatçılar daha da əlavə etdilər. Sızdırılmış API açarı və giriş tokenlərinin sahibləri hələ tanımlanmadı, çünki yetersiz icazələr və API məhdudiyyəti tədqiqatçıların onları tanımağa mane olmuşdur.Təsirlənmiş əsas platformalar arasında GitHub (5,924 nümunə), Slack (5,552) və Salesforce (4,206) yer alır, daha çox sızdırılmış sektorlar arasında sağlamlıq, idman geyimləri və maliyyə xidmətləri var. CloudSEK-in dediyinə görə, bu konfiqurasiyalar geniş yayılmışdır, və təşkilatlar “mühüm təhlükələrə” məruz qalır, bu da “ciddi mali və reputasiyal dəmələrə” səbəb olur.”Postman iş sahələri tez-tez API açarları, tokenlər, kimliklər və dokumentlər daxil olmaqla həssas məlumatları özündə saxlayır,” deyilər tədqiqatçılar. “Yanlış idarə olunarsa, bu məlumat, mali qətnaməcilik, məlumat sızıntıları və reputasiya dəmələləri üçün məhv edilməyə qadir zərərli təfəvvürlü şəxslər üçün bir servet bağlayır.”CloudSEK bildirdi ki, bunların əksəriyyətini müvafiq təşkilatlara bildirdi, ancaq necə reaksiya verildiyi və necə verildiyi barədə danışmadı. Həyasız məlumatların ictimai iş sahələrin daxilində tapılması halında proaktiv gizli açar aşkar etmə və istifadəçilərə həssas məlumatların tapsılması barədə bildirişlərə daxil olmaqla yeni təhlükəsizlik tədbirləri həyata keçirildiyini dedi.

Tags:

0 0 votes
Article Rating
Subscribe
Notify of
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments