- Veel organisaties die Postman-werkruimten gebruiken, brengen hun gegevens in gevaar
- Onderzoekers ontdekten dat tienduizenden openbaar toegankelijke werkplekken gegevens lekten
- De gelekte gegevens bevatten gevoelige informatie over de API van derden
Veel organisaties die Postman-werkruimten gebruiken, brengen hun gegevens, werknemers, klanten en partners in gevaar als gevolg van verschillende misconfiguraties, waarschuwen experts.
Het Triad-team van CloudSEK heeft meer dan 30.000 openbaar toegankelijke Postman-werkruimten ontdekt die gevoelige informatie lekken.
Voor degenen die niet bekend zijn met Postman: het is een samenwerkingsplatform voor API-ontwikkeling, vaak gebruikt als openbare werkruimte voor het maken, testen, delen en beheren van API’s. Het biedt tools voor ontwikkelaars om de API-levenscyclus te stroomlijnen, van ontwerp en testen tot documentatie en implementatie.
Wijdverbreide misconfiguraties
CloudSEK zei dat deze tienduizenden openbaar toegankelijke werkruimten gevoelige informatie lekten over API’s van derden, waaronder toegangstokens, vernieuwingstokens en API-sleutels van derden. Gevoelige informatie die aan het licht komt, omvat beheerdersreferenties, API-sleutels voor betalingsverwerking en toegang tot interne systemen.
Bedrijven in alle soorten en maten lekten gegevens, van het MKB tot grote ondernemingen, aldus de onderzoekers. Sommige eigenaren van de gelekte API-sleutels en toegangstokens zijn nog steeds niet geïdentificeerd, omdat ontoereikende machtigingen en API-beperkingen onderzoekers ervan weerhielden ze te identificeren.
De belangrijkste getroffen platforms zijn onder meer GitHub (5.924 blootstellingen), Slack (5.552) en Salesforce (4.206), terwijl de meest kwetsbare sectoren de gezondheidszorg, sportkleding en financiële diensten omvatten.
De verkeerde configuraties zijn wijdverbreid, zegt CloudSEK, eraan toevoegend dat organisaties worden blootgesteld aan ‘aanzienlijke veiligheidsrisico’s’, waaronder ‘ernstige financiële en reputatieschade’.
“Postman-werkruimten bevatten vaak gevoelige gegevens, waaronder API-sleutels, tokens, inloggegevens en documentatie”, aldus de onderzoekers. “Als deze gegevens verkeerd worden gebruikt, worden ze een schatkamer voor kwaadwillende actoren die kwetsbaarheden voor financiële fraude, datalekken en reputatieschade kunnen misbruiken.”
CloudSEK zei dat het de meeste incidenten aan zijn respectieve organisaties rapporteerde, maar niet besprak hoeveel er reageerden en hoe. Er stond wel dat Postman nieuwe beveiligingsmaatregelen heeft geïmplementeerd, waaronder proactieve geheime detectie en gebruikersmeldingen wanneer gevoelige gegevens worden gevonden in openbare werkruimten.
