Утечка в Postman: более 30 000 ключей API и токенов стали доступными публично

23 декабря 2024 года команда CloudSEK TRIAD обнаружила серьезные проблемы с безопасностью в сервисе Postman, который используется для создания и тестирования программных интерфейсов (API). Оказалось, что более 30 000 рабочих пространств (мест, где пользователи хранят данные) были доступны в интернете, и в них содержалась важная информация, например, пароли и ключи доступа к системам.

Эти утечки касались компаний из разных сфер, включая здравоохранение, финансовые услуги и даже спортивные бренды. Среди пострадавших оказались крупные платформы, такие как GitHub, Slack и Salesforce. Проблема в том, что доступ к такой информации может позволить злоумышленникам украсть данные, получить доступ к внутренним системам компаний или даже проводить мошеннические операции.

Главные причины утечек – неправильная настройка доступа к данным, случайное делание их публичными и хранение паролей без шифрования. Например, если кто-то случайно делится своими файлами из Postman или хранит пароли в открытом виде, то их может увидеть любой пользователь в интернете.

Эта ситуация несет большие риски, ведь злоумышленники могут использовать найденные данные для взлома систем, кражи денег или других атак. Чтобы этого не произошло, эксперты советуют компаниям использовать специальные инструменты для защиты данных, регулярно менять пароли и проверять, что они не выкладывают секретную информацию в интернет.

После того как CloudSEK сообщил о проблеме, Postman добавил меры защиты: теперь сервис предупреждает пользователей, если они случайно загружают секретную информацию в публичный доступ, и предлагает решения для закрытия таких данных.

Кроме того, Postman начал удалять публичные рабочие пространства, где нашли утечки, и заранее уведомляет об этом их владельцев.