Vazamentos de dados do Postman: os riscos ocultos que se escondem em seus espaços de trabalho

Resumo

• A equipe TRIAD, aproveitando o CloudSEK XV Vigília, identificou riscos significativos decorrentes do uso indevido dos espaços de trabalho do Postman, uma popular plataforma de desenvolvimento e teste de APIs baseada em nuvem.
• Neste blog, apresentaremos alguns dos incidentes interessantes, porém críticos, que podem levar a violações massivas de dados de PIIs de clientes, abuso de serviços legítimos de propriedade de organizações por meio de aquisições, lançamento de campanhas maliciosas e muito mais.
• Nossa investigação de um ano revelou que mais de 30.000 espaços de trabalho do Postman acessíveis ao público estavam divulgando informações confidenciais. Na maioria dos casos, essas coleções incluíam tokens de acesso, tokens de atualização, chaves de API de terceiros e até mesmo dados de usuários de teste ou demonstração de organizações de vários tamanhos e setores diferentes. Embora muitos casos de chaves e tokens de API de terceiros vazados possam ser atribuídos a permissões ou limitações inadequadas na arquitetura da API, impedindo a identificação adequada do proprietário, as fontes definitivas geralmente permanecem desconhecidas.
• A maioria dos incidentes identificados foi atribuída e relatada de forma responsável às respectivas organizações.

‍

‍

Vazamentos de dados confidenciais no Postman: o que você precisa saber

No mundo acelerado do desenvolvimento e teste de APIs, o Postman surgiu como uma ferramenta essencial para desenvolvedores e organizações. Sua facilidade de uso, versatilidade e recursos colaborativos o tornam indispensável. No entanto, com grandes poderes vêm grandes responsabilidades — e riscos. Os ambientes Postman geralmente abrigam dados confidenciais, desde chaves e tokens de API até lógica comercial confidencial, o que os torna uma mina de ouro em potencial para agentes mal-intencionados quando manipulados incorretamente.
Informações confidenciais, como chaves de API, documentação, credenciais e tokens, geralmente acabam expostas por meio de coleções do Postman, criando sérias vulnerabilidades de segurança. Usando o CloudSEK XV Vigília, descobrimos vários casos de vazamento involuntário de dados confidenciais, ressaltando a necessidade crítica de melhores práticas de segurança e conscientização.

Estudos de caso: de vários incidentes relatados

Vazamento de vários dados comerciais e internos por meio da API Okta IAM

Uma das organizações líderes no setor de roupas e calçados esportivos pode ter sido comprometida devido ao vazamento de um espaço de trabalho privado da Postman por um fornecedor terceirizado. As solicitações no espaço de trabalho estão sendo feitas para o Okta IAM da organização junto com as solicitações válidas credenciais e token de acesso. Com esse acesso, qualquer agente de ameaças poderia ter acessado outras APIs internas dessa marca mencionadas no Postman Workspace. Devido a esses acessos, agentes mal-intencionados podem exfiltrar várias faturas, conteúdos comerciais, atributos, detalhes da remessa e vários dados comerciais.

‍

‍

Análise de impacto:

• O impacto de um usuário não autorizado obter acesso às APIs internas de uma empresa seria amplo e significativo. Os agentes de ameaças podiam não apenas manipular registros e tomar medidas não autorizadas, resultando em danos financeiros e de reputação à organização, mas também obter acesso a dados confidenciais. Em casos extremos, todo o banco de dados da empresa pode estar em risco.
• Além disso, pode ser difícil identificar modificações ou ações não autorizadas, a menos que existam sistemas adequados de rastreamento e monitoramento. Tudo isso teria um efeito direto na segurança e confiabilidade da empresa, de seus clientes e de seus funcionários.

‍

Vazamento de vários dados internos e de clientes do setor de saúde por meio de credenciais vazadas da Zendesk

Uma grande empresa de saúde poderia ter sucumbido a um grande vazamento de dados, vazando informações de clientes, bem como ao acesso ao portal de suporte com privilégios completos de administrador, devido a um espaço de trabalho público do Postman que foi descoberto vazando informações altamente confidenciais, incluindo credenciais ativas de administrador do ZenDesk. Esse tipo de exposição é uma bomba-relógio, potencialmente abrindo as portas para violações de dados de clientes e acesso não autorizado ao portal de suporte ZenDesk da organização — riscos que podem afetar gravemente a reputação e as finanças.

‍

‍

As credenciais expostas do ZenDesk, ainda ativas, podem permitir que agentes mal-intencionados façam login no portal de suporte com privilégios completos de administrador. Isso significa que eles poderiam realizar ações críticas, como criar ou modificar artigos comunitários em nome da organização, amplificando ainda mais os possíveis danos.

‍

‍

‍

Credenciais vazadas da API Razorpay.

Durante nossa investigação, encontramos várias instâncias de chaves de API do Razorpay sendo acidentalmente expostas em espaços de trabalho Postman compartilhados publicamente. Essas chaves, projetadas para permitir a comunicação segura com a API da Razorpay, ficaram desprotegidas, tornando-as vulneráveis ao acesso não autorizado.

Esse tipo de supervisão pode facilmente permitir que os agentes de ameaças explorem as chaves expostas, potencialmente levando à fraude financeira ou ao uso indevido dos sistemas de pagamento. É um lembrete gritante da importância de proteger credenciais confidenciais, especialmente em ambientes colaborativos.

‍

‍

As chaves de API vazadas podem ter consequências devastadoras, incluindo transações não autorizadas que levam a perdas financeiras, violações que expõem dados confidenciais de clientes e danos significativos à reputação à medida que a confiança e a conformidade são afetadas. As empresas também podem enfrentar interrupções operacionais, pois revogar e regenerar chaves e, ao mesmo tempo, lidar com as consequências do uso indevido pode interromper os fluxos de trabalho normais.

‍

‍

‍

Token de atualização vazado com segredo de sessão e chamada de API

Descobrimos um vazamento sério em um espaço de trabalho público do Postman, onde um token de atualização e o segredo da sessão de um grande software de CRM foram expostos. Para piorar a situação, o endpoint da API para gerar tokens de acesso também foi incluído, permitindo que usuários não autorizados potencialmente explorem todo o ciclo de vida do token.

‍

‍

O vazamento do token de atualização e do segredo da sessão abre a porta para sérios riscos. Os invasores poderiam usá-los para gerar tokens de acesso válidos, fornecendo acesso não autorizado a APIs confidenciais. Isso não apenas coloca os dados em risco, mas também permite o sequestro de sessões, onde as sessões do usuário podem ser exploradas para roubo de dados ou uso indevido do serviço. Pior ainda, se outros detalhes também forem expostos, os invasores poderão aumentar seu acesso, comprometer ainda mais os sistemas ou até mesmo se passar por usuários legítimos, tornando o impacto ainda mais severo.

‍

‍

‍

Credenciais da API NewRelic vazadas

As solicitações no espaço de trabalho estão sendo feitas para o API New Relic (software de monitoramento e análise de registros) de uma grande empresa de software junto com a chave de API válida. Os agentes de ameaças podem obter acesso a arquivos de log, microsserviços, terminais internos e cabeçalhos. Isso pode dar a eles acesso a registros do sistema e do aplicativo, dados de uso do produto, dados de tráfego de rede e credenciais do usuário, que fornecem uma grande quantidade de informações sobre sua empresa e sua infraestrutura interna.

‍

‍

Para fins de POC, também reproduzimos a consulta mencionada no espaço de trabalho exposto do Postman. Essa consulta gerará uma URL pública para um determinado GUID da entidade da página do painel. A página do painel pode então ser acessada na forma de um instantâneo estático na URL pública resultante.

‍

‍

‍

Ao visitar o URL no navegador, você obterá os detalhes do painel.

‍

‍

Documentação de API vazada no Postman Workspace

Nesse caso, foi encontrado um espaço de trabalho do Postman expondo publicamente a documentação da API, incluindo detalhes sobre endpoints, parâmetros de solicitação, métodos de autenticação e códigos de erro. Para piorar a situação, um token de trabalho também vazou.

‍

‍

Esse tipo de exposição pode ter consequências graves: os invasores podem usar as informações detalhadas do endpoint para explorar vulnerabilidades ou acessar recursos restritos, aumentando significativamente a superfície de ataque para ameaças específicas, como injeção de SQL ou ataques de negação de serviço. Além disso, concorrentes ou agentes mal-intencionados podem obter informações sobre a lógica comercial proprietária, colocando em risco a confidencialidade e dando a eles uma vantagem injusta.

‍

‍

Nesse caso específico, a API foi usada para enviar mensagens do WhatsApp em nome da organização com sua conta do WhatsApp. Usando o token, os pesquisadores conseguiram assumir o controle total da conta e enviar qualquer tipo de sms/mensagem ao usuário. Isso poderia ser facilmente usado para enganar usuários para instalar um software malicioso ou obter suas credenciais.

‍

‍

Como os vazamentos de dados confidenciais ocorrem no Postman

Vários cenários e práticas comuns levam a vazamentos de dados confidenciais no Postman. Eles geralmente carecem de controles de acesso inadequados, compartilhamento acidental e práticas de armazenamento inseguras.

‍

UM Coleção Postman é um grupo estruturado de solicitações de API, organizado com dados relevantes, como parâmetros, cabeçalhos e detalhes de autenticação, projetado para simplificar os testes e a colaboração.

‍

Aqui estão algumas causas típicas da exposição de dados:

• Compartilhamento inadvertido de coleções e ambientes

Uma das características mais fortes do Postman é sua capacidade de colaboração, permitindo que os membros da equipe compartilhem coleções e ambientes para um desenvolvimento eficiente. No entanto, isso também pode levar à exposição não intencional se dados confidenciais forem incorporados em coleções compartilhadas. Quando ambientes contendo variáveis confidenciais são compartilhados entre equipes ou com colaboradores externos, usuários não autorizados podem obter acesso a informações confidenciais.

• Sincronização com repositórios acessíveis ao público

Em alguns casos, as coleções e os arquivos de ambiente do Postman são sincronizados ou exportados e armazenados em repositórios públicos como o GitHub. Se os dados confidenciais não forem mascarados ou higienizados antes do upload desses arquivos, eles se tornarão acessíveis a qualquer pessoa com acesso ao repositório. Essa é uma vulnerabilidade comum, pois os desenvolvedores podem publicar inadvertidamente tokens ou segredos sem perceber o impacto.

• Controles de acesso mal configurados

O Postman permite que os usuários definam diferentes níveis de permissões, mas controles de acesso mal configurados podem levar a um amplo acesso, onde somente o acesso restrito deve ser permitido. Se ambientes confidenciais forem compartilhados em toda a organização ou até mesmo tornados públicos por engano, isso pode resultar em um vazamento substancial de dados.

• Armazenando dados confidenciais em texto simples

O Postman geralmente salva variáveis de ambiente e outros dados em formato de texto simples, que pode ser visualizado por qualquer usuário com acesso ao espaço de trabalho ou ao arquivo de ambiente do Postman. Essa falta de criptografia para informações confidenciais armazenadas ou compartilhadas localmente as torna suscetíveis à exposição, especialmente em dispositivos compartilhados ou comprometidos.

• Uso de tokens de longa duração sem rotação

Nos testes de API, é comum usar tokens para autenticar solicitações. Muitas equipes optam por tokens de longa duração para evitar a reautenticação constante. No entanto, se esses tokens não forem alternados com frequência ou forem codificados no Postman, eles podem se tornar alvos de alto valor. Se expostos, esses tokens podem fornecer acesso prolongado não autorizado aos sistemas.

Impacto de vazamentos de dados confidenciais no Postman

A exposição de dados confidenciais no Postman pode ter consequências significativas tanto para desenvolvedores individuais quanto para organizações inteiras. Uma chave de API ou token de acesso vazado, por exemplo, pode fornecer aos atacantes acesso direto a sistemas e dados críticos, potencialmente levando a:

• Violações de dados: Os invasores podem aproveitar as chaves expostas para acessar e exfiltrar dados confidenciais, causando perdas financeiras, danos à reputação e penalidades regulatórias.
• Acesso não autorizado ao sistema: Se os invasores obtiverem o controle de tokens ou credenciais, eles poderão se passar por usuários ou aplicativos legítimos, concedendo-lhes acesso não autorizado a sistemas ou serviços internos.
• Aumento de ataques de phishing e engenharia social: Os atacantes podem usar credenciais comprometidas para lançar ataques direcionados, como phishing ou engenharia social, para se infiltrar ainda mais em uma organização.

‍

UM Espaço de trabalho do carteiro é um ambiente colaborativo em que os usuários podem organizar e compartilhar coleções, ambientes e outros recursos de API com os membros da equipe para simplificar o desenvolvimento e os testes.

‍

Os dados destacam uma descoberta preocupante de mais de Coleções públicas de 30k Postman expondo chaves e credenciais confidenciais da API em uma ampla variedade de plataformas e serviços. Aqui estão alguns insights críticos:

‍

• Vazamento dos principais serviços de API: Plataformas como api.github.com (5.924), slack. com (5.552 vazamentos) e hooks.slack.com (4.961) dominam a lista, mostrando um grande volume de segredos expostos.
• Vazamento de serviços de API populares: Serviços de alto perfil, como salesforce.com (4.206), login.microsoftonline.com (1.729) e graph.facebook.com (1.174) destacam a natureza generalizada desse problema, impactando ecossistemas críticos de nuvem, mídias sociais e negócios.
• Vazamento de diversos serviços de API: As exposições variam de ferramentas focadas no desenvolvedor, como api.twilio.com (283) e api.openai.com (262) para comércio eletrônico e sistemas de pagamento, como api.stripe.com (554) e api.razorpay.com (704).

‍

‍

Esses dados ressaltam uma lacuna significativa nas práticas de segurança da API e enfatizam a necessidade urgente de controles mais rigorosos sobre como as chaves e credenciais da API são gerenciadas em ambientes de desenvolvimento colaborativo. Um gráfico circular visualizando as proporções poderia destacar ainda mais a concentração de vazamentos entre os principais serviços.

‍

‍

Tipos comuns de dados confidenciais armazenados no Postman

As informações confidenciais são frequentemente usadas no Postman para autenticar e se comunicar com APIs. Esses dados geralmente incluem:

• Chaves e segredos da API: identificadores exclusivos que concedem acesso às APIs, normalmente armazenados no Postman para facilitar o uso durante os testes.
• Tokens de acesso e atualização: usados para autenticação, especialmente em fluxos do OAuth2, esses tokens geralmente têm vida longa e, se vazados, podem ser usados para se passar por usuários legítimos.
• Nomes de usuário e senhas: Às vezes, a autenticação básica é usada nas coleções do Postman, tornando as credenciais vulneráveis à exposição.
• Segredos e certificados do cliente: Essenciais para comunicações criptografadas, elas geralmente são armazenadas no Postman para facilitar os testes, mas podem ser altamente confidenciais se acessadas por usuários não autorizados.
• Variáveis de ambiente:
  Definições de configuração para ambientes de produção ou de teste, geralmente incluindo URLs internos ou dados operacionais confidenciais.

Informações de identificação pessoal (PII): dados de clientes ou funcionários que, se manipulados incorretamente, podem levar a violações de privacidade e problemas de conformidade.

Melhores práticas para evitar vazamentos de dados no Postman

Para manter seus dados confidenciais seguros no Postman, aqui estão algumas práticas recomendadas:

• Use variáveis de ambiente com sabedoria: Em vez de codificar informações confidenciais, use variáveis de ambiente para tokens e segredos. No entanto, certifique-se de armazená-los com segurança e limpá-los quando não forem mais necessários.
• Limite de permissões: Compartilhe coleções e ambientes somente com pessoas que precisam deles. Revise as permissões regularmente e evite o compartilhamento de ambientes confidenciais em toda a organização.
• Evite tokens de longa duração: Use tokens de curta duração quando possível e considere usar a rotação automática de tokens. Isso limita o impacto se um token for exposto.
• Use o gerenciamento de segredos externos: Considere integrar ferramentas de gerenciamento de segredos que possam armazenar e recuperar informações confidenciais com segurança, em vez de salvar segredos diretamente no Postman.
• Monitore e registre o acesso: O Postman oferece registros de atividades que rastreiam o compartilhamento e o acesso. Use esses registros para auditar quem acessou dados confidenciais e procurar qualquer atividade suspeita.
• Verifique novamente antes de compartilhar: Antes de compartilhar qualquer coleção ou ambiente, reserve um momento para verificar se há informações confidenciais que possam ter sido salvas em variáveis ou solicitações.

Resposta do carteiro

Parabéns à equipe de segurança do Postman por sua resposta rápida e eficaz no fortalecimento da segurança da plataforma. Após a divulgação de nossas descobertas, eles implementaram uma política abrangente de proteção secreta para mitigar a exposição de dados confidenciais, como chaves de API, em espaços de trabalho públicos. Essa política notifica proativamente os usuários se segredos forem detectados, oferecendo soluções e facilitando as transições para espaços de trabalho privados ou de equipe. Essas medidas decisivas ressaltam a dedicação da Postman à segurança do usuário e à integridade de sua rede pública de APIs. Saiba mais sobre essas atualizações aqui.