Araştırmacılar, yaygın olarak kullanılan bulut tabanlı bir API geliştirme ve test platformu olan Postman’dan veri sızıntılarını içeren yaygın ve endişe verici bir eğilimi ortaya çıkardı.
Soruşturma, Postman çalışma alanlarının uygunsuz yönetiminin, halka açık 30.000’den fazla koleksiyonun hassas verileri açığa çıkarmasıyla sonuçlandığını, bunun da potansiyel olarak büyük veri ihlallerine ve yetkisiz kötüye kullanıma yol açtığını ortaya koyuyor.
TRIAD Ekibinin yıl boyu süren analizi, API anahtarları, erişim belirteçleri, yenileme belirteçleri ve hatta özel kullanıcı verileri gibi hassas verilerin halka açık Postacı koleksiyonları aracılığıyla yanlışlıkla sızdırıldığı kritik durumları vurguladı.
Bu olaylar her ölçekteki kuruluşta ve çeşitli sektörlerde rapor edildi. Açığa çıkan veriler, tehdit aktörlerinin kötü amaçlı kampanyalar başlatmasına, meşru hizmetleri kötüye kullanmasına ve gizli bilgileri sızdırmasına olanak tanıyan önemli bir güvenlik riski teşkil ediyor.
Bazı sızıntılar API sınırlamalarına ve yanlış yapılandırmalara atfedilebilirken çoğu durumda temel neden tanımlanamıyor. Her durumda, TRIAD Ekibi güvenlik açıklarını etkilenen kuruluşlara sorumlu bir şekilde rapor ederek olası zararın azaltılmasına yardımcı oldu.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Veri Maruziyeti ve Potansiyel Etki Örnekleri
1. Atletizm Endüstrisinde Okta IAM API Sızıntısı
Büyük bir spor giyim şirketi, üçüncü taraf bir satıcıdan sızdırılan Postman çalışma alanları nedeniyle dahili API manipülasyonu riskiyle karşı karşıya kaldı. Kötü niyetli bir aktör, bu çalışma alanlarında depolanan Okta IAM kimlik bilgilerine ve belirteçlerine erişim sağlayarak faturalar, gönderi ayrıntıları ve ticaretle ilgili bilgiler gibi hassas iş verilerini potansiyel olarak sızdırabilir.
Dahili API’lere yetkisiz erişim, veri ihlalleri, mali kayıplar ve itibar kaybı gibi geniş kapsamlı sonuçlara yol açabilir. Güçlü izleme sistemleri olmadan bu tür yetkisiz eylemlerin tespit edilmesi zor olacaktır.
2. Sağlık Hizmetinde Zendesk Yönetici Kimlik Bilgileri Sızıntısı
Bir sağlık firması, paylaşılan bir Postman çalışma alanı aracılığıyla yanlışlıkla aktif Zendesk yönetici kimlik bilgilerini açığa çıkardı. Bu, hem müşteri verilerini hem de kuruluşun tüm destek portalını tehlikeye atacak yıkıcı bir ihlal riskiyle karşı karşıya kaldı.
Kötü niyetli aktörler, müşteri verilerine erişmek, destek operasyonlarını manipüle etmek ve hatta kimlik avı planları oluşturmak için bu kimlik bilgilerinden yararlanarak ciddi mali ve marka zararlarına neden olabilir.
3. Razorpay API Anahtar Sızıntısı
Razorpay API anahtarlarının birden fazla Postman çalışma alanında açığa çıktığı tespit edildi ve bu durum ödeme sistemlerini kötüye kullanıma açık hale getirdi. Bu hata, saldırganların yetkisiz işlemler gerçekleştirmesine olanak tanıyarak mali dolandırıcılığa yol açabilir.
Ödeme API anahtarlarının açığa çıkması işlemleri kesintiye uğratabilir, kullanıcı güvenini zedeleyebilir ve kuruluşları mali kayıplarla mücadele ederken sistemlerini elden geçirmeye zorlayabilir.
4. CRM Token Sızıntıları
Bir Postman çalışma alanı, erişim belirteçleri oluşturmak için bir uç noktanın yanı sıra bir CRM yazılım platformunun yenileme belirtecini ve oturum sırlarını halka açık hale getirdi. Bu, saldırganlara oturumları ele geçirme veya hassas sistemlere doğrudan erişme olanağı sağladı.
CRM sistemlerine yetkisiz erişim, veri hırsızlığına, hizmetin kötüye kullanılmasına ve API düzeyindeki istismar yoluyla saldırıların daha da artmasına yol açabilir.
5. Yeni Relic API Kimlik Bilgilerinin Açığa Çıkması
Büyük bir yazılım şirketinin New Relic API anahtarları Postman aracılığıyla yanlışlıkla paylaşıldı ve bu durum dahili günlüklere, mikro hizmetlere ve operasyonel verilere olası erişime olanak sağladı.
Bu tür bir açığa çıkma, sistem altyapısına, kullanıcı etkinliğine ve iş operasyonlarına ilişkin özel bilgileri açığa çıkararak saldırganlara avantaj sağlayabilir.
Soruşturma, bu istenmeyen sızıntılara katkıda bulunan çeşitli faktörleri belirledi:
Ekipler genellikle hassas veriler içeren API koleksiyonlarını uygun şekilde temizlemeden yanlışlıkla paylaşırlar. Benzer şekilde geliştiriciler, maskesiz kimlik bilgilerini yanlışlıkla GitHub gibi halka açık platformlara yükleyerek kritik bilgilerin açığa çıkmasına neden olabilir.
Kötü yönetilen izinler hassas çalışma alanlarına yetkisiz erişime izin verebileceğinden, yanlış yapılandırılmış erişim kontrolleri riski daha da artırır. Ek olarak, hassas bilgilerin Postman koleksiyonlarında veya ortam dosyalarında düz metin olarak saklanması, bu bilgilere yetkisiz tarafların kolayca erişebilmesini sağlar.
Uzun ömürlü tokenların düzenli rotasyon olmadan kullanılması bu sorunları daha da artırıyor ve bu tür tokenların açığa çıkması durumunda veri hırsızlığı riskini artırıyor.
TRIAD’ın araştırması aynı zamanda popüler API hizmetlerinde geniş ölçekli kullanıma da dikkat çekti:
- GitHub API: 5.924 sızdırılmış kimlik bilgisi.
- Slack API: 10.000’den fazla birleşik sızıntı.
- Salesforce, Microsoft, Razorpay ve diğerleri, sorunun yaygın doğasını vurgulayarak ağır bir şekilde etkilendi.
Bu tür veri sızıntılarını önlemek için TRIAD Ekibi aşağıdaki en iyi uygulamaları desteklemektedir:
- Ortam Değişkenlerini Kullan: Hassas verileri sabit kodlamaktan kaçının ve bunun yerine bunları ortam değişkenlerinde güvenli bir şekilde saklayın.
- İzinleri Kısıtla: Koleksiyonları ve ortamları yalnızca yetkili personel ve denetim izinleriyle düzenli olarak paylaşın.
- Jetonları Sık Sık Döndürün: Kısa ömürlü tokenlar kullanın ve mümkün olduğunca rotasyonlarını otomatikleştirin.
- Sır Yönetimi Araçlarından Yararlanın: Hassas bilgileri güvenli bir şekilde depolamak ve yönetmek için harici araçları kullanın.
- Düzenli Güvenlik Denetimleri Gerçekleştirin: Erişim günlüklerini izleyin ve paylaşılan koleksiyonları olası güvenlik açıklarına karşı inceleyin.
Postacının Yanıtı
Bu bulguların ciddiyetini kabul eden Postman, bir gizli koruma politikası uygulayarak güvenlik önlemlerini artırdı. Bu politika, halka açık çalışma alanlarında hassas veriler tespit edildiğinde kullanıcıları proaktif olarak uyarır ve onları düzeltici eylemlere yönlendirir.
Bu güncellemeler, Postman’ın kullanıcı verilerini koruma ve Genel API Ağının güvenliğini artırma konusundaki kararlılığının altını çiziyor
TRIAD Ekibinin bulguları, işbirliğine dayalı ortamlarda sağlam API güvenlik uygulamalarının kritik önemini vurgulamaktadır. Kuruluşların API kimlik bilgilerinin güvenli bir şekilde işlenmesine öncelik vermesi ve Postman gibi araçlarla ilişkili riskleri azaltmak için geliştiriciler arasında farkındalık yaratması gerekiyor.
API’ler modern uygulamalara güç sağlamaya devam ederken, hassas verileri korumak ve dijital ekosistemlere olan güveni sürdürmek için bunların güvenliğinin sağlanması zorunludur.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin