【安全资讯】Postman安全漏洞：3万个工作区泄露API密钥及更多敏感信息

概要：

近期CloudSEK的TRIAD团队发布了一份报告，揭示了Postman平台存在的严重安全漏洞。该调查显示，超过3万个公开可访问的Postman工作区泄露了敏感信息，包括API密钥、令牌和机密商业数据。这一事件突显了网络安全的重要性，尤其是在API开发和测试领域。

主要内容：

该报告指出，Postman工作区的安全漏洞主要源于访问控制配置不当和数据处理不当。泄露的信息包括来自Razorpay、Zendesk和New Relic等主要平台的访问和刷新令牌，这使得攻击者能够未经授权访问支付系统和CRM工具。此外，医疗和电子商务等行业的私有工作区也泄露了客户数据和商业逻辑。

泄露的敏感文档和API文档详细描述了端点和身份验证方法，增加了恶意攻击者的攻击面。报告警告称，Postman环境中常常包含敏感数据，若处理不当，可能成为恶意行为者的“金矿”。

报告还指出，泄露的令牌使得攻击者能够以完全管理权限登录系统，甚至导致金融欺诈和声誉损害。为应对这些风险，CloudSEK建议实施强有力的安全措施，包括合理使用环境变量、限制访问权限、采用外部秘密管理工具以及监控和记录活动。

Postman随后推出了秘密保护政策，以增强其公共API网络的安全性，主动提醒用户检测到的秘密，帮助他们解决问题并转向私有工作区。这些措施彰显了Postman对用户安全和公共API网络完整性的承诺。