- Muitas organizações que usam espaços de trabalho do Postman estão colocando seus dados em risco
- Pesquisadores encontraram dezenas de milhares de espaços de trabalho acessíveis ao público vazando dados
- Os dados vazados incluem informações confidenciais sobre API de terceiros
Muitas organizações que usam espaços de trabalho do Postman estão colocando seus dados, funcionários, clientes e parceiros em risco, devido a várias configurações incorretas, alertaram os especialistas.
A equipe Triad da CloudSEK descobriu mais de 30.000 espaços de trabalho Postman acessíveis publicamente vazando informações confidenciais.
Para quem não está familiarizado com o Postman, é uma plataforma colaborativa para desenvolvimento de APIs, frequentemente usada como um espaço de trabalho público para criar, testar, compartilhar e gerenciar APIs. Ele fornece ferramentas para que os desenvolvedores otimizem o ciclo de vida da API, desde o design e teste até a documentação e implantação.
Configurações incorretas generalizadas
CloudSEK disse que essas dezenas de milhares de espaços de trabalho acessíveis publicamente estavam vazando informações confidenciais sobre APIs de terceiros, incluindo tokens de acesso, tokens de atualização e chaves de API de terceiros. As informações confidenciais descobertas incluem credenciais de administrador, chaves de API de processamento de pagamentos e acesso a sistemas internos.
Empresas de todos os formatos e tamanhos estavam vazando dados, desde pequenas e médias empresas até grandes empresas, disseram ainda os pesquisadores. Alguns proprietários das chaves de API e tokens de acesso vazados ainda não foram identificados, uma vez que permissões inadequadas e limitações de API impediram os pesquisadores de identificá-los.
As principais plataformas impactadas incluem GitHub (5.924 exposições), Slack (5.552) e Salesforce (4.206), enquanto os setores mais expostos incluem saúde, vestuário esportivo e serviços financeiros.
As configurações incorretas são generalizadas, diz CloudSEK, acrescentando que as organizações estão expostas a “riscos de segurança significativos”, que incluem “graves danos financeiros e de reputação”.
“Os espaços de trabalho do Postman geralmente contêm dados confidenciais, incluindo chaves de API, tokens, credenciais e documentação”, disseram os pesquisadores. “Quando maltratados, esses dados se tornam um tesouro para atores mal-intencionados, capazes de explorar vulnerabilidades para fraudes financeiras, violações de dados e danos à reputação.”
CloudSEK disse que relatou a maioria dos incidentes às suas respectivas organizações, mas não discutiu quantas responderam e como. Ele disse que Postman implementou novas medidas de segurança, que incluem detecção proativa de segredos e notificações de usuários quando dados confidenciais são encontrados em espaços de trabalho públicos.
