A proliferação de serviços em nuvem e DevOps levou ao aumento do uso de interfaces de programação de aplicativos (APIs). E muitos desenvolvedores confiam em serviços como o Postman para projetar, criar, testar e otimizar suas APIs. A XVIigil da CloudSEK observou um aumento nas ocorrências expostas de Postman. Essa tendência é especialmente preocupante porque o Postman é usado por 500.000 organizações e 20 milhões de desenvolvedores em todo o mundo.

A ameaça

Com a popularidade e a onipresença do Postman, os agentes de ameaças têm demonstrado cada vez mais interesse nas instâncias do Postman disponíveis publicamente para extrair informações críticas. O xVigil descobriu vários espaços de trabalho públicos do Postman e documentação da API que expõe credenciais e endpoints confidenciais da API. [caption id="attachment_21881" align="alignnone” width="1362"] Alerta xVigil de um espaço de trabalho público do Postman expondo credenciais e endpoints confidenciais da API [/caption]

Impacto

As instâncias do Postman disponíveis publicamente que contêm informações confidenciais podem ser exploradas por agentes de ameaças das seguintes maneiras:

• Os segredos da API podem ser usados para acessar os endpoints da API e roubar, modificar ou excluir dados, dependendo da funcionalidade da API.
• As credenciais podem ser usadas para obter acesso não autorizado a contas e redes internas para roubar arquivos e informações confidenciais.
• As PII podem ser usadas para orquestrar ataques de engenharia social, campanhas de phishing e roubo de identidade.
• Os agentes de ameaças podem vender os dados roubados, ou o próprio acesso, na dark web.

[caption id="attachment_21882" align="alignnone” width="613"] Atores de ameaças que vendem dados roubados por meio de acesso não autorizado à API [/caption]

Medidas de mitigação

Pesquisas mostram que as empresas podem enfrentar até bilhões em perdas, devido a problemas de segurança relacionados à API. Portanto, é importante que as organizações

• Monitore repositórios de código e instâncias do Postman voltados para o público em busca de vazamentos de segredos de API e vazamentos de credenciais.
• Certifique-se de que as chaves de API não sejam disponibilizadas publicamente nos espaços de trabalho do Postman.
• Tente manter seus Espaço de trabalho privado do carteiro.

Apêndice

• Um espaço de trabalho público do Postman expondo uma coleção de APIs que continha segredos e credenciais relacionados a várias seguradoras. Esses segredos são destinados apenas ao uso interno das empresas.

[caption id="attachment_21883" align="alignnone” width="1751"] Captura de tela de uma instância do Postman contendo segredos de autorização [/caption]

• Um espaço de trabalho público do Postman mencionando o vazamento da coleção de APIs que continha segredos e credenciais relacionados a várias seguradoras.

[caption id="attachment_21884" align="alignnone” width="1374"] Instantâneo da ameaça classificada pelo xVigil [/caption]