تسريبات بيانات ساعي البريد: المخاطر الخفية الكامنة في مساحات العمل الخاصة بك

يشكل تسرب البيانات الحساسة في مساحات عمل Postman مخاطر كبيرة، حيث يعرض مفاتيح API وبيانات الاعتماد والرموز المميزة التي يمكن أن تؤدي إلى الوصول غير المصرح به وانتهاكات البيانات والإضرار بالسمعة. كشف تحقيق استمر لمدة عام عن أكثر من 30,000 مساحة عمل متاحة للجمهور تسرب معلومات حساسة، بما في ذلك بيانات الأعمال ومعلومات تحديد الهوية الشخصية للعملاء. كانت ضوابط الوصول غير الصحيحة والمشاركة العرضية وتخزين البيانات في نص عادي من المساهمين الرئيسيين في هذه الثغرات الأمنية. يعد اعتماد أفضل الممارسات مثل استخدام متغيرات البيئة والحد من الأذونات وتنفيذ إدارة الأسرار الخارجية أمرًا بالغ الأهمية للتخفيف من هذه المخاطر وتأمين بيئات التطوير التعاونية.

أيوش بانوار

December 23, 2024

ملخص

فريق TRIAD، الذي يستفيد من CloudSek الجيل السادس عشر، حددت مخاطر كبيرة ناجمة عن الاستخدام غير السليم لمساحات عمل Postman، وهي منصة تطوير واختبار واجهة برمجة التطبيقات الشهيرة القائمة على السحابة.
في هذه المدونة، سنقدم بعضًا من الحوادث المثيرة للاهتمام والخطيرة التي يمكن أن تؤدي إلى خروقات هائلة لبيانات معلومات التعريف الشخصية للعملاء، وإساءة استخدام الخدمات المشروعة المملوكة للمؤسسات من خلال عمليات الاستحواذ، وإطلاق حملات ضارة، والمزيد.
كشف تحقيقنا الذي استمر لمدة عام أن أكثر من 30,000 مساحة عمل Postman يمكن الوصول إليها للجمهور تكشف عن معلومات حساسة. في معظم الحالات، تضمنت هذه المجموعات رموز الوصول ورموز التحديث ومفاتيح API التابعة لجهات خارجية وحتى بيانات المستخدم التجريبية أو التجريبية من المؤسسات ذات الأحجام المختلفة وعبر الصناعات المختلفة. على الرغم من أن العديد من حالات مفاتيح ورموز API التابعة لجهات خارجية والتي تم تسريبها يمكن إرجاعها إلى الأذونات أو القيود غير الكافية داخل بنية API التي تمنع تحديد المالك المناسب، إلا أن المصادر النهائية غالبًا ما تظل غير معروفة.
ونُسبت معظم الحوادث التي تم تحديدها وتم الإبلاغ عنها بمسؤولية إلى المنظمات المعنية.

‍

‍

تسرب البيانات الحساسة في Postman: ما تحتاج إلى معرفته

في عالم تطوير واختبار واجهة برمجة التطبيقات سريع الخطى، ظهرت Postman كأداة مفضلة للمطورين والمؤسسات. إن سهولة استخدامه وتعدد استخداماته وميزاته التعاونية تجعله لا غنى عنه. ومع ذلك، تأتي مع القوة العظمى مسؤولية كبيرة ومخاطر كبيرة. غالبًا ما تحتوي بيئات Postman على بيانات حساسة، من مفاتيح API والرموز إلى منطق الأعمال السري، مما يجعلها منجم ذهب محتمل للجهات الخبيثة عند سوء التعامل معها.
غالبًا ما يتم الكشف عن المعلومات الحساسة مثل مفاتيح API والوثائق وبيانات الاعتماد والرموز المميزة من خلال مجموعات Postman، مما يؤدي إلى حدوث ثغرات أمنية خطيرة. استخدام CloudDesk الجيل السادس عشر، اكتشفنا حالات متعددة من البيانات الحساسة التي تم تسريبها عن غير قصد، مما يؤكد الحاجة الماسة لممارسات أمنية ووعي أفضل.

دراسات الحالة: من مختلف الحوادث المبلغ عنها

تسريب العديد من البيانات التجارية والداخلية عبر Okta IAM API

كان من الممكن اختراق إحدى المنظمات الرائدة في صناعة الملابس والأحذية الرياضية بسبب تسريب إحدى مساحات عمل Postman الخاصة من قبل بائع تابع لجهة خارجية. يتم تقديم الطلبات في مساحة العمل إلى Okta IAM التابع للمنظمة جنبًا إلى جنب مع الطلب الصحيح بيانات الاعتماد ورمز الوصول. مع هذا الوصول، يمكن لأي ممثل تهديد الوصول إلى واجهات برمجة التطبيقات الداخلية الأخرى لتلك العلامة التجارية المذكورة في Postman Workspace. بسبب عمليات الوصول هذه، يمكن للجهات الخبيثة تصفية العديد من الفواتير والمحتويات التجارية والسمات وتفاصيل الشحن إلى جانب البيانات التجارية المختلفة.

‍

‍

تحليل التأثير:

سيكون تأثير وصول المستخدم غير المصرح به إلى واجهات برمجة التطبيقات الداخلية للشركة بعيد المدى وهامًا. لا يمكن للجهات الفاعلة في مجال التهديد فقط التلاعب بالسجلات واتخاذ إجراءات غير مصرح بها - مما يؤدي إلى إلحاق الضرر المالي والسمعة بالمنظمة - ولكن أيضًا الوصول إلى البيانات السرية. في الحالات القصوى، قد تكون قاعدة بيانات الشركة بأكملها في خطر.
علاوة على ذلك، قد يكون من الصعب تحديد التعديلات أو الإجراءات غير المصرح بها ما لم تكن هناك أنظمة تتبع ورصد مناسبة. كل هذا سيكون له تأثير مباشر على أمن وموثوقية الشركة وعملائها وموظفيها.

‍

تسريب العديد من عملاء الرعاية الصحية والبيانات الداخلية عبر بيانات اعتماد Zendesk المسربة

كان من الممكن أن تستسلم شركة رعاية صحية كبرى لتسرب كبير للبيانات يؤدي إلى تسريب معلومات العملاء بالإضافة إلى الوصول إلى بوابة الدعم بامتيازات المسؤول الكاملة بسبب مساحة عمل Postman العامة التي تم اكتشافها وهي تسرب معلومات حساسة للغاية، بما في ذلك بيانات اعتماد مسؤول ZenDesk النشطة. هذا النوع من التعرض هو قنبلة موقوتة، مما قد يفتح الباب أمام انتهاكات بيانات العملاء والوصول غير المصرح به إلى بوابة دعم ZenDesk الخاصة بالمؤسسة - وهي مخاطر يمكن أن تؤثر بشدة على كل من السمعة والشؤون المالية.

‍

*بيانات اعتماد مسربة لـ ZenDesk في مساحة عمل Postman العامة*

‍

قد تسمح بيانات اعتماد ZenDesk المكشوفة، التي لا تزال نشطة، للجهات الضارة بتسجيل الدخول إلى بوابة الدعم بامتيازات المسؤول الكاملة. هذا يعني أنه يمكنهم تنفيذ إجراءات مهمة، مثل إنشاء أو تعديل مقالات المجتمع باسم المنظمة، مما يزيد من تضخيم الضرر المحتمل.

‍

‍

*لقطة شاشة لبيانات العميل المتسربة على البوابة*

‍

بيانات اعتماد واجهة برمجة تطبيقات Razorpay المسربة.

خلال تحقيقنا، صادفنا حالات متعددة من مفاتيح Razorpay API التي تم الكشف عنها عن طريق الخطأ في مساحات عمل Postman المشتركة علنًا. تم ترك هذه المفاتيح، المصممة لتمكين الاتصال الآمن مع واجهة برمجة تطبيقات Razorpay، دون حماية، مما يجعلها عرضة للوصول غير المصرح به.

يمكن أن يسمح هذا النوع من الرقابة بسهولة للجهات الفاعلة المهددة باستغلال المفاتيح المكشوفة، مما قد يؤدي إلى الاحتيال المالي أو إساءة استخدام أنظمة الدفع. إنه تذكير صارخ بأهمية تأمين أوراق الاعتماد الحساسة، خاصة في البيئات التعاونية.

‍

*أوراق اعتماد مسربة لساعي البريد في مساحة عمل Postman العامة*

‍

يمكن أن تؤدي مفاتيح API المسربة إلى عواقب مدمرة، بما في ذلك المعاملات غير المصرح بها التي تؤدي إلى خسائر مالية، والانتهاكات التي تعرض بيانات العملاء الحساسة، وإلحاق أضرار كبيرة بالسمعة مع تضرر الثقة والامتثال. قد تواجه الشركات أيضًا اضطرابات تشغيلية، حيث يمكن أن يؤدي إلغاء المفاتيح وتجديدها أثناء معالجة تداعيات سوء الاستخدام إلى مقاطعة سير العمل العادي.

‍

*تم تسريب مفتاح واجهة برمجة تطبيقات razorpay العامل على ساعي البريد*

‍

رمز التحديث المسرب مع سر الجلسة ومكالمة API

اكتشفنا تسربًا خطيرًا في مساحة عمل Postman العامة حيث تم الكشف عن رمز التحديث وسر الجلسة لبرنامج CRM رئيسي. ومما زاد الطين بلة، أنه تم أيضًا تضمين نقطة نهاية API لإنشاء رموز الوصول، مما يسمح للمستخدمين غير المصرح لهم باستغلال دورة حياة الرمز بالكامل.

‍

يؤدي تسرب رمز التحديث وسر الجلسة إلى فتح الباب لمخاطر جسيمة. يمكن للمهاجمين استخدامها لإنشاء رموز وصول صالحة، مما يتيح لهم الوصول غير المصرح به إلى واجهات برمجة التطبيقات الحساسة. وهذا لا يعرض البيانات للخطر فحسب، بل يسمح أيضًا باختطاف الجلسة، حيث يمكن استغلال جلسات المستخدم لسرقة البيانات أو إساءة استخدام الخدمة. والأسوأ من ذلك، إذا تم الكشف عن تفاصيل أخرى أيضًا، فقد يقوم المهاجمون بتصعيد وصولهم، أو اختراق الأنظمة بشكل أكبر، أو حتى انتحال شخصية المستخدمين الشرعيين، مما يجعل التأثير أكثر حدة.

‍

*تم تسريب رمز العمل في مساحة عمل ساعي البريد*

‍

بيانات اعتماد واجهة برمجة تطبيقات Relic الجديدة المسربة

يتم تقديم الطلبات في مساحة العمل إلى واجهة برمجة تطبيقات Relic الجديدة (برنامج مراقبة السجلات والتحليلات) لشركة برمجيات كبيرة إلى جانب مفتاح API الصالح. يمكن للجهات الفاعلة في مجال التهديد الوصول إلى ملفات السجلات والخدمات المصغرة ونقاط النهاية الداخلية والعناوين. قد يمنحهم هذا إمكانية الوصول إلى سجلات النظام والتطبيق وبيانات استخدام المنتج وبيانات حركة مرور الشبكة وبيانات اعتماد المستخدم، والتي توفر ثروة من المعلومات حول شركتك وبنيتها التحتية الداخلية.

‍

لأغراض POC، قمنا أيضًا بإعادة إنتاج الاستعلام المذكور في مساحة عمل Postman المكشوفة. سيُنشئ هذا الاستعلام عنوان URL عامًا لمعرف GUID لكيان صفحة لوحة معلومات معينة. يمكن بعد ذلك الوصول إلى صفحة لوحة المعلومات في شكل لقطة ثابتة في عنوان URL العام الناتج.

‍

curl --location 'https://api.newrelic.com/graphql' \ --header 'API-Key: NRAK-257VYH6ITPM09G0M71C6FX48J82' \ --header 'Content-Type: application/json' \ --header 'guid: MTcyMTQ0MnxWSVp8REFTSEJPQVJEfGRhOjQxMTM1' \ --data '{"query":"mutation ($guid: EntityGuid!) {\r\n dashboardCreateSnapshotUrl(guid: $guid, params: {timeWindow: {duration: 604800000}})\r\n}\r\n\r\n","variables":{"guid":"MTcyMTQ0MnxWSVp8REFTSEJPQVJEfDEyNTE1MTM"}}'

‍

*صورة تعرض عنوان URL العام الذي تم إرجاعه بواسطة API*

‍

عند زيارة عنوان URL في المتصفح، ستحصل على تفاصيل لوحة التحكم.

‍

‍

وثائق API المسربة في مساحة عمل Postman

في هذه الحالة، تم العثور على مساحة عمل Postman تعرض علنًا وثائق API، بما في ذلك تفاصيل حول نقاط النهاية ومعلمات الطلب وأساليب المصادقة ورموز الخطأ. ومما زاد الطين بلة، أنه تم تسريب رمز عامل أيضًا.

‍

يمكن أن يكون لهذا النوع من التعرض عواقب وخيمة: يمكن للمهاجمين استخدام معلومات نقطة النهاية التفصيلية لاستغلال الثغرات الأمنية أو الوصول إلى الموارد المقيدة، مما يزيد بشكل كبير من سطح الهجوم للتهديدات المستهدفة مثل حقن SQL أو هجمات رفض الخدمة. بالإضافة إلى ذلك، قد يكتسب المنافسون أو الجهات الخبيثة رؤى حول منطق الأعمال الاحتكاري، مما يعرض السرية للخطر ويمنحهم ميزة غير عادلة.

‍

في هذه الحالة بالذات، تم استخدام api لإرسال رسائل whatsapp نيابة عن المنظمة باستخدام حساب whatsapp الخاص بها. باستخدام الرمز المميز، تمكن الباحثون من التحكم الكامل في الحساب ويمكنهم إرسال أي نوع من الرسائل القصيرة/الرسائل إلى المستخدم، ويمكن استخدام هذا بسهولة لتصيد المستخدمين لتثبيت برنامج ضار أو الحصول على بيانات الاعتماد الخاصة بهم.

‍

‍

كيف تحدث تسربات البيانات الحساسة في Postman

تؤدي العديد من السيناريوهات والممارسات الشائعة إلى تسرب البيانات الحساسة داخل Postman. غالبًا ما تفتقر هذه العناصر إلى ضوابط الوصول غير الكافية والمشاركة العرضية وممارسات التخزين غير الآمنة.

‍

أ مجموعة بوستمان هي مجموعة منظمة من طلبات API، منظمة بالبيانات ذات الصلة مثل المعلمات والعناوين وتفاصيل المصادقة، مصممة لتبسيط الاختبار والتعاون.

‍

فيما يلي بعض الأسباب النموذجية لتعرض البيانات:

المشاركة غير المقصودة للمجموعات والبيئات

واحدة من أقوى ميزات Postman هي قدرتها على التعاون، مما يسمح لأعضاء الفريق بمشاركة المجموعات والبيئات من أجل التطوير الفعال. ومع ذلك، يمكن أن يؤدي هذا أيضًا إلى التعرض غير المقصود إذا تم تضمين البيانات الحساسة في المجموعات المشتركة. عند مشاركة البيئات التي تحتوي على متغيرات حساسة عبر الفرق أو مع متعاونين خارجيين، يمكن للمستخدمين غير المصرح لهم الوصول إلى المعلومات السرية.

المزامنة مع المستودعات التي يمكن الوصول إليها بشكل عام

في بعض الحالات، تتم مزامنة مجموعات Postman وملفات البيئة أو تصديرها وتخزينها في مستودعات عامة مثل GitHub. إذا لم يتم إخفاء البيانات الحساسة أو تعقيمها قبل تحميل هذه الملفات، فسيصبح الوصول إليها متاحًا لأي شخص لديه حق الوصول إلى المستودع. هذه ثغرة شائعة، حيث قد ينشر المطورون عن غير قصد الرموز أو الأسرار دون إدراك التأثير.

عناصر تحكم الوصول التي تم تكوينها بشكل خاطئ

يسمح Postman للمستخدمين بتعيين مستويات مختلفة من الأذونات، ولكن عناصر التحكم في الوصول التي تم تكوينها بشكل خاطئ يمكن أن تؤدي إلى وصول واسع حيث يجب السماح بالوصول المقيد فقط. في حالة مشاركة البيئات الحساسة على مستوى المؤسسة أو حتى جعلها عامة عن طريق الخطأ، فقد يؤدي ذلك إلى تسرب كبير للبيانات.

تخزين البيانات الحساسة في نص عادي

غالبًا ما يحفظ Postman متغيرات البيئة والبيانات الأخرى بتنسيق نص عادي، والتي يمكن عرضها من قبل أي مستخدم لديه حق الوصول إلى مساحة عمل Postman أو ملف البيئة. هذا النقص في التشفير للمعلومات الحساسة المخزنة محليًا أو المشتركة يجعلها عرضة للتعرض، خاصة على الأجهزة المشتركة أو المخترقة.

استخدام الرموز طويلة الأجل بدون دوران

في اختبار API، من الشائع استخدام الرموز لمصادقة الطلبات. تختار العديد من الفرق الرموز طويلة الأمد لتجنب إعادة المصادقة المستمرة. ومع ذلك، إذا لم يتم تدوير هذه الرموز بشكل متكرر أو تم ترميزها بشكل ثابت في Postman، فيمكن أن تصبح أهدافًا عالية القيمة. وفي حالة الكشف عن هذه الرموز، يمكن أن توفر وصولاً مطولًا غير مصرح به إلى الأنظمة.

تأثير تسرب البيانات الحساسة في Postman

يمكن أن يكون للتعرض للبيانات الحساسة داخل Postman عواقب وخيمة لكل من المطورين الفرديين والمؤسسات بأكملها. على سبيل المثال، يمكن لمفتاح API أو رمز الوصول الذي تم تسريبه أن يوفر للمهاجمين إمكانية الوصول المباشر إلى الأنظمة والبيانات الهامة، مما قد يؤدي إلى:

خروقات البيانات: يمكن للمهاجمين الاستفادة من المفاتيح المكشوفة للوصول إلى البيانات الحساسة وتسريبها، مما يؤدي إلى خسارة مالية وإلحاق الضرر بالسمعة وعقوبات تنظيمية.
الوصول غير المصرح به إلى النظام: إذا تمكن المهاجمون من السيطرة على الرموز أو بيانات الاعتماد، فيمكنهم انتحال شخصية المستخدمين أو التطبيقات الشرعية، ومنحهم وصولاً غير مصرح به إلى الأنظمة أو الخدمات الداخلية.
زيادة هجمات التصيد والهندسة الاجتماعية: يمكن للمهاجمين استخدام بيانات اعتماد مخترقة لشن هجمات مستهدفة، مثل التصيد الاحتيالي أو الهندسة الاجتماعية، لمزيد من التسلل إلى المؤسسة.

‍

أ مساحة عمل ساعي البريد هي بيئة تعاونية حيث يمكن للمستخدمين تنظيم ومشاركة مجموعات API والبيئات والموارد الأخرى مع أعضاء الفريق من أجل التطوير والاختبار بشكل مبسط.

‍

تسلط البيانات الضوء على اكتشاف مقلق لأكثر من 30k بوستمان (المجموعات العامة) الكشف عن مفاتيح API الحساسة وبيانات الاعتماد عبر مجموعة واسعة من المنصات والخدمات. فيما يلي بعض الأفكار الهامة:

‍

تسرب أفضل خدمات API: منصات مثل api.github.com (5,924)، سلاك.كوم (5,552 التسريبات)، و هوكس.سلاك.com (4,961) تهيمن على القائمة، وتظهر حجمًا كبيرًا من الأسرار المكشوفة.
تسرب خدمات API الشائعة: خدمات رفيعة المستوى مثل salesforce.com (4,206)، تسجيل الدخول. microsoftonline.com (1,729)، و الرسم البياني.facebook.com (1,174) تسليط الضوء على الطبيعة الواسعة الانتشار لهذه المشكلة، والتي تؤثر على السحابة الحرجة ووسائل التواصل الاجتماعي والنظم البيئية للأعمال.
تسرب خدمات API المتنوعة: تتراوح التعرضات من الأدوات التي تركز على المطور مثل api.twilio.com (283) و api.openai.com (262) إلى التجارة الإلكترونية وأنظمة الدفع مثل api.stripe.com (554) و api.razorpay.com (704).

‍

‍

تؤكد هذه البيانات وجود فجوة كبيرة في ممارسات أمان API وتؤكد على الحاجة الملحة لضوابط أكثر صرامة حول كيفية إدارة مفاتيح API وبيانات الاعتماد في بيئات التطوير التعاونية. يمكن للمخطط الدائري الذي يصور النسب أن يسلط الضوء بشكل أكبر على تركيز التسريبات بين أفضل الخدمات.

‍

‍

الأنواع الشائعة من البيانات الحساسة المخزنة في Postman

غالبًا ما يتم استخدام المعلومات الحساسة داخل Postman للمصادقة والتواصل مع واجهات برمجة التطبيقات. تتضمن هذه البيانات عادةً:

مفاتيح وأسرار API: المعرفات الفريدة التي تمنح الوصول إلى واجهات برمجة التطبيقات، والتي يتم تخزينها بشكل شائع في Postman لسهولة الاستخدام أثناء الاختبار.
الوصول إلى الرموز وتحديثها: تُستخدم هذه الرموز المميزة للمصادقة، لا سيما في تدفقات OAuth2، وغالبًا ما تكون طويلة الأمد، وفي حالة تسريبها، يمكن استخدامها لانتحال شخصية المستخدمين الشرعيين.
أسماء المستخدمين وكلمات المرور: تُستخدم المصادقة الأساسية أحيانًا داخل مجموعات Postman، مما يجعل بيانات الاعتماد عرضة للتعرض.
أسرار العميل والشهادات: ضرورية للاتصالات المشفرة، وغالبًا ما يتم تخزينها في Postman لتسهيل الاختبار ولكن يمكن أن تكون حساسة للغاية إذا تم الوصول إليها من قبل مستخدمين غير مصرح لهم.
متغيرات البيئة:
إعدادات التكوين لبيئات الإنتاج أو الإعداد، وغالبًا ما تتضمن عناوين URL الداخلية أو البيانات التشغيلية الحساسة.

معلومات التعريف الشخصية (PII): بيانات العميل أو الموظف التي قد تؤدي، في حالة سوء التعامل معها، إلى انتهاكات الخصوصية ومشكلات الامتثال.

أفضل الممارسات لمنع تسرب البيانات في Postman

للحفاظ على أمان بياناتك الحساسة في Postman، إليك بعض أفضل الممارسات:

استخدم متغيرات البيئة بحكمة: بدلاً من ترميز المعلومات الحساسة، استخدم متغيرات البيئة للرموز والأسرار. ومع ذلك، تأكد من تخزينها بأمان ومسحها عندما لا تكون هناك حاجة إليها.
الحد من الأذونات: يمكنك مشاركة المجموعات والبيئات فقط مع الأشخاص الذين يحتاجون إليها. راجع الأذونات بانتظام، وتجنب مشاركة البيئات الحساسة على مستوى المؤسسة.
تجنب الرموز طويلة الأجل: استخدم الرموز قصيرة الأجل عندما يكون ذلك ممكنًا، وفكر في استخدام التدوير الآلي للرموز. هذا يحد من التأثير في حالة تعرض الرمز المميز للخطر.
استخدم إدارة الأسرار الخارجية: فكر في دمج أدوات إدارة الأسرار التي يمكنها تخزين المعلومات الحساسة واستردادها بأمان، بدلاً من حفظ الأسرار مباشرة في Postman.
الوصول إلى الشاشة والسجل: يقدم Postman سجلات الأنشطة التي تتعقب المشاركة والوصول. استخدم هذه السجلات لتدقيق الأشخاص الذين قاموا بالوصول إلى البيانات الحساسة والبحث عن أي نشاط مريب.
تحقق جيدًا قبل المشاركة: قبل مشاركة أي مجموعة أو بيئة، خصص بعض الوقت لمراجعة المعلومات الحساسة التي ربما تم حفظها في المتغيرات أو الطلبات.

استجابة ساعي البريد

الثناء على فريق Postman Security لاستجابتهم السريعة والفعالة في تعزيز أمن المنصة. بعد الكشف عن النتائج التي توصلنا إليها، قاموا بتنفيذ سياسة حماية سرية شاملة للتخفيف من تعرض البيانات الحساسة، مثل مفاتيح API، في مساحات العمل العامة. تقوم هذه السياسة بإعلام المستخدمين بشكل استباقي في حالة اكتشاف الأسرار، وتقديم الحلول وتسهيل الانتقال إلى مساحات العمل الخاصة أو الجماعية. تؤكد هذه الإجراءات الحاسمة تفاني Postman في سلامة المستخدم وسلامة شبكة API العامة الخاصة بها. تعرف على المزيد حول هذه التحديثات هنا.