Viele Organisationen, die Postman-Arbeitsbereiche nutzen, setzen ihre Daten einem Risiko ausForscher haben Tausende öffentlich zugängliche Arbeitsbereiche identifiziert, die Daten und sensible Informationen preisgebenDie preisgegebenen Daten enthalten sensitive Informationen über Drittanbieter-APIs

Experten warnen davor, dass viele Organisationen, die Postman-Arbeitsbereiche nutzen, ihre Daten, Mitarbeiter, Kunden und Partner aufgrund verschiedener Misskonfigurationen gefährden. Das Triad-Team von CloudSEK hat herausgefunden, dass mehr als 30.000 öffentlich zugängliche Postman-Arbeitsbereiche sensible Informationen preisgeben.

Postman ist eine kollaborative Plattform für die API-Entwicklung, die oft als öffentlicher Arbeitsbereich für die Erstellung, das Testen, das Teilen und das Verwalten von APIs genutzt wird. Unternehmen aller Größenordnungen leaken sensible Daten, von KMUs bis hin zu großen Unternehmen. Zu den Hauptplattformen, die betroffen sind, gehören GitHub (5.924 Expositionen), Slack (5.552) und Salesforce (4.206), während die am meisten exponierten Sektoren das Gesundheitswesen, Sportbekleidung und Finanzdienstleistungen sind.

Fehlerhafte Konfigurationen sind weit verbreitet, so CloudSEK, und Organisationen sind erheblichen Sicherheitsrisiken ausgesetzt, die zu schwerwiegenden finanziellen und reputativen Schäden führen können. CloudSEK hat die meisten Vorfälle an die jeweiligen Organisationen gemeldet, ohne jedoch zu diskutieren, wie viele reagiert haben. Postman hat neue Sicherheitsmaßnahmen implementiert, einschließlich proaktiver Erkennung von Geheimnissen und Benachrichtigungen an Benutzer, wenn sensible Daten in öffentlichen Arbeitsbereichen gefunden werden.