🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
يشكل تسرب البيانات الحساسة في مساحات عمل Postman مخاطر كبيرة، حيث يعرض مفاتيح API وبيانات الاعتماد والرموز المميزة التي يمكن أن تؤدي إلى الوصول غير المصرح به وانتهاكات البيانات والإضرار بالسمعة. كشف تحقيق استمر لمدة عام عن أكثر من 30,000 مساحة عمل متاحة للجمهور تسرب معلومات حساسة، بما في ذلك بيانات الأعمال ومعلومات تحديد الهوية الشخصية للعملاء. كانت ضوابط الوصول غير الصحيحة والمشاركة العرضية وتخزين البيانات في نص عادي من المساهمين الرئيسيين في هذه الثغرات الأمنية. يعد اعتماد أفضل الممارسات مثل استخدام متغيرات البيئة والحد من الأذونات وتنفيذ إدارة الأسرار الخارجية أمرًا بالغ الأهمية للتخفيف من هذه المخاطر وتأمين بيئات التطوير التعاونية.
قم بحماية التعليمات البرمجية والأنظمة والمعلومات الحساسة من التسربات - اتخذ إجراءً الآن وقم بحماية أصولك الرقمية اليوم.
Schedule a Demo
في عالم تطوير واختبار واجهة برمجة التطبيقات سريع الخطى، ظهرت Postman كأداة مفضلة للمطورين والمؤسسات. إن سهولة استخدامه وتعدد استخداماته وميزاته التعاونية تجعله لا غنى عنه. ومع ذلك، تأتي مع القوة العظمى مسؤولية كبيرة ومخاطر كبيرة. غالبًا ما تحتوي بيئات Postman على بيانات حساسة، من مفاتيح API والرموز إلى منطق الأعمال السري، مما يجعلها منجم ذهب محتمل للجهات الخبيثة عند سوء التعامل معها.
غالبًا ما يتم الكشف عن المعلومات الحساسة مثل مفاتيح API والوثائق وبيانات الاعتماد والرموز المميزة من خلال مجموعات Postman، مما يؤدي إلى حدوث ثغرات أمنية خطيرة. استخدام CloudDesk الجيل السادس عشر، اكتشفنا حالات متعددة من البيانات الحساسة التي تم تسريبها عن غير قصد، مما يؤكد الحاجة الماسة لممارسات أمنية ووعي أفضل.
كان من الممكن اختراق إحدى المنظمات الرائدة في صناعة الملابس والأحذية الرياضية بسبب تسريب إحدى مساحات عمل Postman الخاصة من قبل بائع تابع لجهة خارجية. يتم تقديم الطلبات في مساحة العمل إلى Okta IAM التابع للمنظمة جنبًا إلى جنب مع الطلب الصحيح بيانات الاعتماد ورمز الوصول. مع هذا الوصول، يمكن لأي ممثل تهديد الوصول إلى واجهات برمجة التطبيقات الداخلية الأخرى لتلك العلامة التجارية المذكورة في Postman Workspace. بسبب عمليات الوصول هذه، يمكن للجهات الخبيثة تصفية العديد من الفواتير والمحتويات التجارية والسمات وتفاصيل الشحن إلى جانب البيانات التجارية المختلفة.
تحليل التأثير:
كان من الممكن أن تستسلم شركة رعاية صحية كبرى لتسرب كبير للبيانات يؤدي إلى تسريب معلومات العملاء بالإضافة إلى الوصول إلى بوابة الدعم بامتيازات المسؤول الكاملة بسبب مساحة عمل Postman العامة التي تم اكتشافها وهي تسرب معلومات حساسة للغاية، بما في ذلك بيانات اعتماد مسؤول ZenDesk النشطة. هذا النوع من التعرض هو قنبلة موقوتة، مما قد يفتح الباب أمام انتهاكات بيانات العملاء والوصول غير المصرح به إلى بوابة دعم ZenDesk الخاصة بالمؤسسة - وهي مخاطر يمكن أن تؤثر بشدة على كل من السمعة والشؤون المالية.
قد تسمح بيانات اعتماد ZenDesk المكشوفة، التي لا تزال نشطة، للجهات الضارة بتسجيل الدخول إلى بوابة الدعم بامتيازات المسؤول الكاملة. هذا يعني أنه يمكنهم تنفيذ إجراءات مهمة، مثل إنشاء أو تعديل مقالات المجتمع باسم المنظمة، مما يزيد من تضخيم الضرر المحتمل.
خلال تحقيقنا، صادفنا حالات متعددة من مفاتيح Razorpay API التي تم الكشف عنها عن طريق الخطأ في مساحات عمل Postman المشتركة علنًا. تم ترك هذه المفاتيح، المصممة لتمكين الاتصال الآمن مع واجهة برمجة تطبيقات Razorpay، دون حماية، مما يجعلها عرضة للوصول غير المصرح به.
يمكن أن يسمح هذا النوع من الرقابة بسهولة للجهات الفاعلة المهددة باستغلال المفاتيح المكشوفة، مما قد يؤدي إلى الاحتيال المالي أو إساءة استخدام أنظمة الدفع. إنه تذكير صارخ بأهمية تأمين أوراق الاعتماد الحساسة، خاصة في البيئات التعاونية.
يمكن أن تؤدي مفاتيح API المسربة إلى عواقب مدمرة، بما في ذلك المعاملات غير المصرح بها التي تؤدي إلى خسائر مالية، والانتهاكات التي تعرض بيانات العملاء الحساسة، وإلحاق أضرار كبيرة بالسمعة مع تضرر الثقة والامتثال. قد تواجه الشركات أيضًا اضطرابات تشغيلية، حيث يمكن أن يؤدي إلغاء المفاتيح وتجديدها أثناء معالجة تداعيات سوء الاستخدام إلى مقاطعة سير العمل العادي.
اكتشفنا تسربًا خطيرًا في مساحة عمل Postman العامة حيث تم الكشف عن رمز التحديث وسر الجلسة لبرنامج CRM رئيسي. ومما زاد الطين بلة، أنه تم أيضًا تضمين نقطة نهاية API لإنشاء رموز الوصول، مما يسمح للمستخدمين غير المصرح لهم باستغلال دورة حياة الرمز بالكامل.
يؤدي تسرب رمز التحديث وسر الجلسة إلى فتح الباب لمخاطر جسيمة. يمكن للمهاجمين استخدامها لإنشاء رموز وصول صالحة، مما يتيح لهم الوصول غير المصرح به إلى واجهات برمجة التطبيقات الحساسة. وهذا لا يعرض البيانات للخطر فحسب، بل يسمح أيضًا باختطاف الجلسة، حيث يمكن استغلال جلسات المستخدم لسرقة البيانات أو إساءة استخدام الخدمة. والأسوأ من ذلك، إذا تم الكشف عن تفاصيل أخرى أيضًا، فقد يقوم المهاجمون بتصعيد وصولهم، أو اختراق الأنظمة بشكل أكبر، أو حتى انتحال شخصية المستخدمين الشرعيين، مما يجعل التأثير أكثر حدة.
يتم تقديم الطلبات في مساحة العمل إلى واجهة برمجة تطبيقات Relic الجديدة (برنامج مراقبة السجلات والتحليلات) لشركة برمجيات كبيرة إلى جانب مفتاح API الصالح. يمكن للجهات الفاعلة في مجال التهديد الوصول إلى ملفات السجلات والخدمات المصغرة ونقاط النهاية الداخلية والعناوين. قد يمنحهم هذا إمكانية الوصول إلى سجلات النظام والتطبيق وبيانات استخدام المنتج وبيانات حركة مرور الشبكة وبيانات اعتماد المستخدم، والتي توفر ثروة من المعلومات حول شركتك وبنيتها التحتية الداخلية.
لأغراض POC، قمنا أيضًا بإعادة إنتاج الاستعلام المذكور في مساحة عمل Postman المكشوفة. سيُنشئ هذا الاستعلام عنوان URL عامًا لمعرف GUID لكيان صفحة لوحة معلومات معينة. يمكن بعد ذلك الوصول إلى صفحة لوحة المعلومات في شكل لقطة ثابتة في عنوان URL العام الناتج.
عند زيارة عنوان URL في المتصفح، ستحصل على تفاصيل لوحة التحكم.
في هذه الحالة، تم العثور على مساحة عمل Postman تعرض علنًا وثائق API، بما في ذلك تفاصيل حول نقاط النهاية ومعلمات الطلب وأساليب المصادقة ورموز الخطأ. ومما زاد الطين بلة، أنه تم تسريب رمز عامل أيضًا.
يمكن أن يكون لهذا النوع من التعرض عواقب وخيمة: يمكن للمهاجمين استخدام معلومات نقطة النهاية التفصيلية لاستغلال الثغرات الأمنية أو الوصول إلى الموارد المقيدة، مما يزيد بشكل كبير من سطح الهجوم للتهديدات المستهدفة مثل حقن SQL أو هجمات رفض الخدمة. بالإضافة إلى ذلك، قد يكتسب المنافسون أو الجهات الخبيثة رؤى حول منطق الأعمال الاحتكاري، مما يعرض السرية للخطر ويمنحهم ميزة غير عادلة.
في هذه الحالة بالذات، تم استخدام api لإرسال رسائل whatsapp نيابة عن المنظمة باستخدام حساب whatsapp الخاص بها. باستخدام الرمز المميز، تمكن الباحثون من التحكم الكامل في الحساب ويمكنهم إرسال أي نوع من الرسائل القصيرة/الرسائل إلى المستخدم، ويمكن استخدام هذا بسهولة لتصيد المستخدمين لتثبيت برنامج ضار أو الحصول على بيانات الاعتماد الخاصة بهم.
تؤدي العديد من السيناريوهات والممارسات الشائعة إلى تسرب البيانات الحساسة داخل Postman. غالبًا ما تفتقر هذه العناصر إلى ضوابط الوصول غير الكافية والمشاركة العرضية وممارسات التخزين غير الآمنة.
أ مجموعة بوستمان هي مجموعة منظمة من طلبات API، منظمة بالبيانات ذات الصلة مثل المعلمات والعناوين وتفاصيل المصادقة، مصممة لتبسيط الاختبار والتعاون.
فيما يلي بعض الأسباب النموذجية لتعرض البيانات:
واحدة من أقوى ميزات Postman هي قدرتها على التعاون، مما يسمح لأعضاء الفريق بمشاركة المجموعات والبيئات من أجل التطوير الفعال. ومع ذلك، يمكن أن يؤدي هذا أيضًا إلى التعرض غير المقصود إذا تم تضمين البيانات الحساسة في المجموعات المشتركة. عند مشاركة البيئات التي تحتوي على متغيرات حساسة عبر الفرق أو مع متعاونين خارجيين، يمكن للمستخدمين غير المصرح لهم الوصول إلى المعلومات السرية.
في بعض الحالات، تتم مزامنة مجموعات Postman وملفات البيئة أو تصديرها وتخزينها في مستودعات عامة مثل GitHub. إذا لم يتم إخفاء البيانات الحساسة أو تعقيمها قبل تحميل هذه الملفات، فسيصبح الوصول إليها متاحًا لأي شخص لديه حق الوصول إلى المستودع. هذه ثغرة شائعة، حيث قد ينشر المطورون عن غير قصد الرموز أو الأسرار دون إدراك التأثير.
يسمح Postman للمستخدمين بتعيين مستويات مختلفة من الأذونات، ولكن عناصر التحكم في الوصول التي تم تكوينها بشكل خاطئ يمكن أن تؤدي إلى وصول واسع حيث يجب السماح بالوصول المقيد فقط. في حالة مشاركة البيئات الحساسة على مستوى المؤسسة أو حتى جعلها عامة عن طريق الخطأ، فقد يؤدي ذلك إلى تسرب كبير للبيانات.
غالبًا ما يحفظ Postman متغيرات البيئة والبيانات الأخرى بتنسيق نص عادي، والتي يمكن عرضها من قبل أي مستخدم لديه حق الوصول إلى مساحة عمل Postman أو ملف البيئة. هذا النقص في التشفير للمعلومات الحساسة المخزنة محليًا أو المشتركة يجعلها عرضة للتعرض، خاصة على الأجهزة المشتركة أو المخترقة.
في اختبار API، من الشائع استخدام الرموز لمصادقة الطلبات. تختار العديد من الفرق الرموز طويلة الأمد لتجنب إعادة المصادقة المستمرة. ومع ذلك، إذا لم يتم تدوير هذه الرموز بشكل متكرر أو تم ترميزها بشكل ثابت في Postman، فيمكن أن تصبح أهدافًا عالية القيمة. وفي حالة الكشف عن هذه الرموز، يمكن أن توفر وصولاً مطولًا غير مصرح به إلى الأنظمة.
يمكن أن يكون للتعرض للبيانات الحساسة داخل Postman عواقب وخيمة لكل من المطورين الفرديين والمؤسسات بأكملها. على سبيل المثال، يمكن لمفتاح API أو رمز الوصول الذي تم تسريبه أن يوفر للمهاجمين إمكانية الوصول المباشر إلى الأنظمة والبيانات الهامة، مما قد يؤدي إلى:
أ مساحة عمل ساعي البريد هي بيئة تعاونية حيث يمكن للمستخدمين تنظيم ومشاركة مجموعات API والبيئات والموارد الأخرى مع أعضاء الفريق من أجل التطوير والاختبار بشكل مبسط.
تسلط البيانات الضوء على اكتشاف مقلق لأكثر من 30k بوستمان (المجموعات العامة) الكشف عن مفاتيح API الحساسة وبيانات الاعتماد عبر مجموعة واسعة من المنصات والخدمات. فيما يلي بعض الأفكار الهامة:
تؤكد هذه البيانات وجود فجوة كبيرة في ممارسات أمان API وتؤكد على الحاجة الملحة لضوابط أكثر صرامة حول كيفية إدارة مفاتيح API وبيانات الاعتماد في بيئات التطوير التعاونية. يمكن للمخطط الدائري الذي يصور النسب أن يسلط الضوء بشكل أكبر على تركيز التسريبات بين أفضل الخدمات.
غالبًا ما يتم استخدام المعلومات الحساسة داخل Postman للمصادقة والتواصل مع واجهات برمجة التطبيقات. تتضمن هذه البيانات عادةً:
للحفاظ على أمان بياناتك الحساسة في Postman، إليك بعض أفضل الممارسات:
الثناء على فريق Postman Security لاستجابتهم السريعة والفعالة في تعزيز أمن المنصة. بعد الكشف عن النتائج التي توصلنا إليها، قاموا بتنفيذ سياسة حماية سرية شاملة للتخفيف من تعرض البيانات الحساسة، مثل مفاتيح API، في مساحات العمل العامة. تقوم هذه السياسة بإعلام المستخدمين بشكل استباقي في حالة اكتشاف الأسرار، وتقديم الحلول وتسهيل الانتقال إلى مساحات العمل الخاصة أو الجماعية. تؤكد هذه الإجراءات الحاسمة تفاني Postman في سلامة المستخدم وسلامة شبكة API العامة الخاصة بها. تعرف على المزيد حول هذه التحديثات هنا.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.