Odkryj ukryte zagrożenia
Niedawne badanie ujawniło, że ponad 4000 aktywnych danych uwierzytelniających jest publicznie ujawnionych na Postmanie, popularnej platformie do testowania API. W tym artykule omówiono przyczyny, zagrożenia i rozwiązania związane z tym istotnym problemem jakim jest bezpieczeństwo.
Kluczowe wnioski
Publiczna sieć API: Publiczna sieć Postmana, zaprojektowana dla programistów do udostępniania interfejsów API, nieumyślnie stała się źródłem wycieku tajemnic. Deweloperzy często upubliczniają swoje prywatne obszary robocze, co prowadzi do niezamierzonego ujawnienia wrażliwych danych.
Rodzaje ujawnionych sekretów: W badaniu znaleziono żywe sekrety od 183 różnych dostawców SaaS i chmury, w tym AWS, GCP, OpenAI, GitHub i samego Postmana. Najczęstszym typem wyciekającego sekretu były wrażliwe identyfikatory URI, takie jak Slack Webhooks.
Zakres problemu: Badacze przeskanowali ~40 000 unikalnych przestrzeni roboczych i odkryli 1689 aktywnych danych uwierzytelniających. Ponieważ Postman reklamuje ponad 200 000 obszarów roboczych, rzeczywista liczba ujawnionych sekretów może być znacznie wyższa.
Dlaczego tajemnice wyciekają?
Forki: Funkcja fork Postmana, podobna do GitHuba, pozwala użytkownikom kopiować publiczne kolekcje. Niestety, wielu użytkowników dołącza swoje klucze API, które stają się publicznie dostępne.
Mylący interfejs użytkownika: Mylące terminy, takie jak „tajne” zmienne środowiskowe, dają użytkownikom fałszywe poczucie bezpieczeństwa, prowadząc ich do niewłaściwego przechowywania poufnych informacji.
Niewystarczające skanowanie: Skaner sekretów Postmana ostrzega użytkowników po opublikowaniu sekretów, zamiast zapobiegać ich ujawnieniu.
Ochrona danych uwierzytelniających
Aby zwalczyć ten problem, programiści mogą używać narzędzi takich jak TruffleHog do skanowania swoich obszarów roboczych Postman w poszukiwaniu ujawnionych sekretów.
Znaczenie zabezpieczania poświadczeń API i ochrony danych jest często omawiane w podcaście Bezpieczny Kod, prowadzonym przez Andrzeja Dyjaka i
. Ich spostrzeżenia doprowadziły mnie do tego artykułu, dlatego gorąco polecam wysłuchanie wysokiej jakości informacji i praktycznych porad dotyczących cyberbezpieczeństwa.
Wnioski
Ujawnienie ponad 4000 żywych danych uwierzytelniających na Postmanie podkreśla pilną potrzebę lepszych praktyk i narzędzi bezpieczeństwa. Programiści i organizacje muszą zachować czujność i proaktywnie chronić swoje dane.
Exposed Credentials on Postman: What You Need to Know
Discover the Hidden Risks
A recent study revealed that over 4,000 live credentials are publicly exposed on Postman, a popular API testing platform. This article explores the reasons, risks, and solutions related to this significant security concern.
Key FindingsPublic API Network:
Postman’s public network, designed for developers to share APIs, has inadvertently become a source of leaked secrets. Developers often make their private workspaces public, leading to the unintentional exposure of sensitive data.Types of Leaked Secrets: The study found live secrets from 183 different SaaS and cloud providers, including AWS, GCP, OpenAI, GitHub, and Postman itself. The most common type of leaked secret was sensitive URIs, such as Slack Webhooks.Extent of the Problem: Researchers scanned ~40,000 unique workspaces and discovered 1,689 live credentials. With Postman advertising over 200,000 workspaces, the actual number of exposed secrets could be significantly higher.
Why Are Secrets Leaking?
Forks: Postman’s fork feature, similar to GitHub’s, allows users to copy public collections. Unfortunately, many users include their live API keys, which become publicly accessible.Confusing UI: Misleading terms like “secret” environment variables give users a false sense of security, leading them to store sensitive information improperly.Insufficient Scanning: Postman’s secret scanner alerts users after publishing secrets, rather than preventing the exposure in the first place.
Protecting Your CredentialsTo combat this issue, developers can use tools like TruffleHog to scan their Postman workspaces for exposed secrets.
Bezpieczny Kod Podcast
The importance of securing API credentials and protecting data is often discussed on the Bezpieczny Kod podcast, hosted by Andrzej Dyjak and Krzysztof Korozej. Their insights led me to this eye-opening article. I highly recommend tuning in for high-quality information and practical advice on cybersecurity.
ConclusionThe exposure of over 4,000 live credentials on Postman underscores the urgent need for better security practices and tools. Developers and organizations must stay vigilant and proactive in protecting their data.
Autor: Sebastian Burgemejster
Comments