首页
社区
课程
招聘
Postman 工作区泄露:30,000 个 API 密钥和敏感令牌的潜在风险
发表于: 2024-12-26 14:09 675

Postman 工作区泄露:30,000 个 API 密钥和敏感令牌的潜在风险

2024-12-26 14:09
675

Data Leak

近日,CloudSEK TRIAD 团队对 Postman 这一云基础的 API 开发和测试平台进行了为期一年的调查,发现其上存在严重的安全漏洞,导致超过 30,000 个公共工作区泄露敏感数据,包括但不限于 API 密钥、访问令牌(access tokens)、刷新令牌(refresh tokens)等。这一事件引发了业界对数据安全的极大关注,因为泄露的数据可能被恶意攻击者利用,造成重大的财务损失及信誉损害。

这一调查揭示了 Postman 工作区管理不当的普遍问题,许多组织在进行 API 开发与测试时,未能妥善处理工作区的共享权限和安全性,致使敏感信息暴露在公众面前。泄露的数据涵盖了从小型企业到大型公司的多个行业,包括医疗、金融和零售等。其中,GitHub、Slack 和 Salesforce 等主流平台也受到影响。

在上述泄露案例中,最典型的情况包括:

  1. Okta IAM API 凭证泄露:某知名运动服装品牌因其第三方供应商泄露的 Postman 工作区,被黑客获取了 Okta IAM 的凭证与令牌,此举可能导致敏感商业数据的外泄,例如发票和运输详情。

  2. Zendesk 管理员凭证泄露:一医疗公司通过共享的 Postman 工作区意外曝光了活跃的 Zendesk 管理员凭证,造成了客户数据和支持门户的严重风险。这种泄露不仅可能导致用户数据的未经授权访问,还可能对公司的声誉造成长远的负面影响。

  3. Razorpay API 密钥泄露:在多次泄漏的事件中,Razorpay 的 API 密钥出现在公共 Postman 工作区中,攻击者借此进行未授权的交易,给支付系统带来安全隐患。

  4. CRM 刷新令牌和会话密钥泄露:某化管理软件的刷新令牌和会话密钥被公开,攻击者能够通过利用这些信息,直接访问敏感系统,带来了更广泛的潜在攻击风险。

  5. New Relic API 凭证泄露:某软件公司的 New Relic API 密钥被误分享,允许攻击者接触内部日志和操作数据,揭示对系统基础设施的深入了解。

针对这些漏洞,调查发现了多种原因,例如默认为公共的错误设置、意外共享敏感信息以及未加密存储等。

为了缓解这些风险,CloudSEK 提出了一系列最佳实践,包括:

  • 使用环境变量:避免在代码中硬编码敏感数据,应通过环境变量保存 API 密钥和令牌。
  • 限制共享权限:只与需要访问的人共享工作空间,并定期审查权限设置。
  • 定期轮换令牌:使用短期有效的访问令牌,并尽量自动化管理轮换过程。
  • 利用外部秘密管理工具:将敏感信息安全存储于外部工具中,而不是直接在 Postman 中保存。
  • 定期进行安全审计:监控访问日志,识别潜在的安全漏洞。

Postman 对于此次泄露事件作出了积极反应,采纳了安全强化措施,实施了秘密保护政策。当系统检测到敏感数据时,会主动向用户发送警告,指导其采取相应措施,确保工作区的安全性。

这一系列事件突显了在 API 安全管理中,企业需要提升协作环境中敏感信息的处理安全性。随着 API 成为现代应用的核心,确保其安全性已成为保护敏感数据和维护数字生态系统信任的关键。

重视 API 数据安全,培训开发者增强安全意识,组织内应提倡安全处理 API 凭证,以降低工具用途带来的潜在风险。关键在于结合技术、制度与人力,共同维护网络空间的安全性。


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回