- Muchas organizaciones que utilizan entornos de trabajo Postman están poniendo en riesgo sus datos
- Los investigadores han descubierto que decenas de miles de espacios de trabajo de acceso público filtran datos
- Los datos filtrados incluyen información confidencial de API de terceros.
Muchas organizaciones que utilizan entornos de trabajo Postman están poniendo en riesgo sus datos, empleados, clientes y socios debido a diversas configuraciones erróneas, advirtieron los expertos.
El equipo Triad de CloudSEK expuso más de 30.000 espacios de trabajo de Postman de acceso público y filtró información confidencial.
Para aquellos que no están familiarizados con Postman, es una plataforma colaborativa de desarrollo de API, que a menudo se utiliza como un espacio de trabajo público para crear, probar, compartir y administrar API. Proporciona herramientas para que los desarrolladores optimicen el ciclo de vida de la API, desde el diseño y las pruebas hasta la documentación y la implementación.
Configuraciones erróneas comunes
CloudSEK dijo que decenas de miles de espacios de trabajo de acceso público filtraron información confidencial sobre API de terceros, incluidos tokens de acceso, tokens de actualización y claves API de terceros. La información confidencial expuesta incluye credenciales de administrador, claves API de procesamiento de pagos y acceso a sistemas internos.
Empresas de todas las formas y tamaños filtraron datos, desde pymes hasta grandes empresas, dijeron los investigadores. Algunos de los propietarios de las claves API y tokens de acceso filtrados siguen sin identificarse, ya que permisos inadecuados y restricciones de API impidieron que los investigadores los identificaran.
Las principales plataformas afectadas incluyen GitHub (5.924 exposiciones), Slack (5.552) y Salesforce (4.206), mientras que los sectores más expuestos incluyen la atención sanitaria, la indumentaria deportiva y los servicios financieros.
Las configuraciones erróneas son comunes, dice CloudSEK, y agrega que las organizaciones están expuestas a “riesgos de seguridad importantes”, que incluyen “daños financieros y de reputación graves”.
“Los espacios de trabajo de Postman a menudo contienen datos confidenciales, incluidas claves API, tokens, certificados y documentación”, dijeron los investigadores. “Cuando se manejan mal, estos datos se convierten en un tesoro para actores maliciosos capaces de explotar vulnerabilidades para fraude financiero, violaciones de datos y daños a la reputación”.
CloudSEK dijo que informó de la mayoría de los incidentes a sus organizaciones, pero no mencionó cuántos respondieron ni cómo. También afirma que Postman ha implementado nuevas medidas de seguridad, que incluyen detección proactiva de secretos y alertas a los usuarios cuando hay datos confidenciales en entornos de trabajo públicos.