Postman становится крупным источником утечек данных

Postman, популярная платформа для тестирования API, столкнулась с серьезной проблемой. В публичной сети API платформы обнаружено более 4000 секретных учетных данных различных провайдеров SaaS и облачных услуг. Это делает Postman одним из крупнейших источников утечек данных.

Согласно исследованию, проведенному с использованием TruffleHog, в Postman были найдены действующие учетные данные 183 различных поставщиков, включая AWS, GCP, OpenAI, GitHub и сам Postman. Наиболее часто утекали конфиденциальные URI, такие как вебхуки Slack, а также токены личного доступа GitHub и ключи API Postman.

Причиной столь масштабных утечек стала возможность пользователей делиться своими рабочими пространствами и коллекциями API с другими разработчиками. Изначально эта функция была введена для конкуренции с платформами типа RapidAPI и для облегчения обмена документацией по API. Однако недостатки в пользовательском интерфейсе и систематике привели к тому, что разработчики непреднамеренно раскрывали свои секреты.

Исследователи обнаружили около 1689 уникальных учетных данных из 40 000 проверенных рабочих пространств. При этом в Postman заявляют о наличии более 200 000 рабочих пространств в своей сети Public API. Это означает, что реальное количество утечек может быть гораздо выше.

Для проверки рабочей среды исследователи использовали API поиска Postman и прогнали каждое рабочее пространство через сканер TruffleHog. В процессе обнаружились не только уникальные учетные данные, но и множество случаев утечек данных внутри компаний. Например, была найдена утечка данных крупной компании, включающая серверы IAM и экземпляры ElasticSearch.

Таким образом, Postman становится все более уязвимой платформой для хранения секретных данных. Разработчики должны быть предельно осторожны и внимательны при настройке своих рабочих пространств, чтобы избежать непреднамеренных утечек данных.