Truffle Security Co. yakın zamanda yaygın olarak kullanılan API test platformu Postman’da büyük bir güvenlik açığı keşfetti.
Bu kusur 4.000’den fazla aktif kimlik bilgisini açığa çıkardı ve etkilenen kişi veya kuruluşlar için ciddi güvenlik endişeleri yarattı.
Bu güvenlik açığı, Postman’ı, birçok SaaS ve bulut sağlayıcısını etkileyen, sızdırılan sırların en büyük halka açık kaynaklarından biri olarak konumlandırdı.
En büyük halka açık API’leri barındırmasıyla tanınan Postman, birkaç yıl önce geliştiricilerin API’lerini paylaşmasına ve sergilemesine olanak tanıyan bir genel ağ başlattı.
Maruz Kalma Ölçeği
Truffle Security’nin araştırması, AWS, GCP, OpenAI, GitHub ve Postman gibi devlerin de aralarında bulunduğu 183 farklı SaaS ve bulut sağlayıcısının canlı sırlarının platformda sızdırıldığını ortaya çıkardı.
En sık açığa çıkan sır türü hassas URI’ler olarak tanımlandı.
Truffle Security, Postman’ın arama API’sini kullanarak yaklaşık 40.000 benzersiz çalışma alanından oluşan bir liste derledi.
Daha sonra her çalışma alanı TruffleHog’un yeni Postman gizli tarayıcısıyla tarandı ve bu, 183 farklı sır türünü temsil eden 1.689 canlı, benzersiz kimlik bilgilerinin keşfedilmesine yol açtı.
Bu kadar çok sayıda kimlik bilgilerinin açığa çıkması, ilgili geliştiriciler ve şirketler ile daha geniş dijital ekosistemin bütünlüğü ve güvenliği açısından önemli bir risk oluşturmaktadır.
Bu durum, saldırganların kimlik bilgilerini çalması için verimli bir zemin oluşturarak, potansiyel olarak yetkisiz erişime, veri ihlallerine ve diğer siber suçlara yol açabilir.
İleriye Doğru
Bu bulguların ışığında, Postman’ı kullanan geliştiricilerin ve şirketlerin, çalışma alanı ayarlarını gözden geçirmeleri ve hiçbir hassas bilginin yanlışlıkla kamuya açıklanmamasını sağlamaları isteniyor.
Ayrıca Postman’ın, kullanıcıların çalışma alanlarını herkese açık hale getirmenin sonuçlarını anlamalarına yardımcı olmak için kullanıcı arayüzünü ve sınıflandırmasını yeniden gözden geçirmesi gerekebilir.
Truffle Security Co. ayrıca kullanıcıların Postman çalışma alanlarını açığa çıkan sırlara karşı taraması için TruffleHog’un Postman gizli tarayıcısı adlı bir araç da sunarak potansiyel riskleri azaltmak için anında harekete geçmeyi teşvik etti.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo