Postman жұмыс кеңістіктерінен 30 000-нан астам API кілттері мен құпия мәліметтер ашылды
Citizen Sec
@CitizenSec , 21-11-2024
2024 жылдың 23 желтоқсанында CloudSEK компаниясының TRIAD командасы API әзірлеу мен тестілеуге арналған танымал Postman платформасында қауіпсіздікке қатысты елеулі мәселелерді анықтады. Қоғамдық қолжетімді 30 000-нан астам жұмыс кеңістігінде құпия ақпарат – парольдер, API кілттері және қолжетімдік токендері – ашылған.
Бұл деректердің таралуы денсаулық сақтау, қаржы қызметтері және спорттық киім өндірісі сияқты салаларға әсер етті. GitHub, Slack және Salesforce сияқты ірі платформалар да зардап шекті. Мұндай деректердің ашылуы хакерлерге заңсыз қолжетімдік алуына, деректерді ұрлауына және алаяқтық әрекеттер жасауына мүмкіндік береді.
Деректердің ашылуының негізгі себептері – рұқсатты дұрыс баптамау, деректерді кездейсоқ бөлісу және құпия ақпаратты ашық мәтінде сақтау. Мысалы, кейбір пайдаланушылар парольдер мен кілттерді көпшілікке қолжетімді репозиторийлерде сақтауы мүмкін, бұл оларды интернеттегі кез келген адамға қолжетімді етеді.
Мұндай жағдайлар қаржылық шығындарға, беделге нұқсан келтіруге және қауіпсіздік тәуекелдеріне әкелуі мүмкін. Сарапшылар шифрлау, қоршаған орта айнымалыларын пайдалану, парольдерді үнемі өзгерту және қолжетімділік параметрлерін тексеру сияқты қауіпсіздік әдістерін қолдануды ұсынады.
Postman бұл мәселені шешу үшін бірқатар шараларды қолға алды. Енді платформа құпия ақпарат анықталған кезде пайдаланушыларды ескертеді және оларды жұмыс кеңістіктерін жеке немесе командаға арналған режимге ауыстыруға шақырады. Сонымен қатар, Postman құпия деректер бар қоғамдық жұмыс кеңістіктерін жойып, олардың иелеріне алдын ала хабарлайды.
Сізді қызықтыруы мүмкін
Как защитить детей в цифровом мире: почему безопасность в интернете — это важно
Современные дети растут в эпоху цифровых технологий — смартфоны, планшеты, социальные сети и онлайн-игры стали неотъемлемой частью их жизни. Интернет открывает массу возможностей для учёбы, творчества и общения, но вместе с этим приносит и серьёзные риски.
@citizensec
30-05-2025Регламент по использованию корпоративной электронной почты
Правила использования корпоративной почты: что разрешено, что запрещено, меры безопасности и ответственность.
@CitizenSec
19-05-2025Қазақстандағы киберқауіпсіздік саласындағы әйелдер
Бұл арнайы шығарылым Қазақстандағы киберқауіпсіздік саласындағы әйелдерге арналады, олар қиындықтарды жеңіп, басқаларға үлгі болып, әлемді қауіпсіз етеді. Біз үш кәсіпқойдың тарихын, олардың АҚ саласындағы жолын, мансап бойынша кеңестерімен және интернет қауіпсіздігі бойынша кеңестерімен бөлісеміз. Киберқауіпсіздік саласында өз жолыңызды қалай бастауға және осы динамикалық салада қалай дамуға болатынын біліңіз.
@citizensec
03-05-2025Күнделікті IT-құралдарға назар аудару: Қытайлық тыңшылық тобының жаңа тактикасы
Microsoft ескертеді: Қытайлық тыңшылар желілерді бұзу үшін күнделікті IT-құралдарды қолдануда
@turin.medet
06-03-2025Zebo-0.1.0 және Cometlogger-0.1 қауіпті бағдарламалары: мәліметтерді ұрлап, компьютерді басқарады
Мамандар зиянсыз болып көрінетін, бірақ қауіпті екі бағдарламаны анықтады. Бұл бағдарламалар жеке мәліметтерді ұрлап, компьютердегі әрекеттерді бақылап, тіпті жүйені басқаруға мүмкіндік береді.
@CitizenSec
26-12-2024Жаңа SteelFox Трояны бағдарламалық жасақтама активаторларына еліктейді, құпия деректерді ұрлайды және криптовалютаны өндіреді
SteelFox алғаш рет 2023 жылдың тамызында анықталды, бірақ оның белсенділігі айтарлықтай өсті. Соңғы айларда 11000-нан астам жұқтыру әрекеті тіркелді.
@CitizenSec
11-11-2024CVE-2024-43093 сыни осалдығы Android пайдаланушыларының қауіпсіздігіне қауіп төндіреді
Бұл мәселе хакерлерге маңызды Android жүйелік қалталарына рұқсатсыз кіруге мүмкіндік береді.
@CitizenSec
05-11-2024ChatGPT-ті 16 биттік форматта жеткізу нұсқаулары арқылы эксплуатация жасауға көндірді
Mozilla зерттеушісі теріс пайдаланудың алдын алу үшін қолданылатын үлкен тілдік модельдердегі (LM) мазмұн сүзгілерін айналып өтудің жаңа әдісін ұсынды.
@CitizenSec
01-11-2024Google Chrome-да cookies шифрлауды айналып өтудің жаңа құралы: ол қалай жұмыс істейді және бұл сіздің желідегі қауіпсіздігіңіз үшін нені білдіреді?
Жақында киберқауіпсіздік зерттеушісі Александр Хагена Google Chrome-да қолданбаға байланысты шифрлау деп аталатын жаңа қорғаныс функциясын айналып өте алатын құралды ойлап тапты.
@CitizenSec
30-10-2024