પોસ્ટમેન વર્કસ્પેસનો ઉપયોગ કરતી ઘણી સંસ્થાઓ તેમના ડેટાને જોખમમાં મૂકી રહી છે સંશોધનકારોને જાણવા મળ્યું છે કે હજારો સાર્વજનિક રીતે સુલભ વર્કસ્પેસ ડેટા લીક કરે છે. લીક થયેલ ડેટામાં તૃતીય-પક્ષ API વિશેની સંવેદનશીલ માહિતી શામેલ છે
નિષ્ણાતોએ ચેતવણી આપી છે કે પોસ્ટમેન વર્કસ્પેસનો ઉપયોગ કરતી ઘણી સંસ્થાઓ તેમના ડેટા, કર્મચારીઓ, ગ્રાહકો અને ભાગીદારોને જોખમમાં મૂકી રહી છે, વિવિધ ખોટી ગોઠવણીઓને કારણે.
CloudSEK ની ટ્રાયડ ટીમે 30,000 થી વધુ સાર્વજનિક રીતે સુલભ પોસ્ટમેન વર્કસ્પેસનો પર્દાફાશ કર્યો જે સંવેદનશીલ માહિતી લીક કરે છે.
પોસ્ટમેનથી અજાણ લોકો માટે, તે API વિકાસ માટે સહયોગી પ્લેટફોર્મ છે, જેનો ઉપયોગ ઘણીવાર API બનાવવા, પરીક્ષણ, શેરિંગ અને મેનેજ કરવા માટે જાહેર કાર્યસ્થળ તરીકે થાય છે. તે વિકાસકર્તાઓને API જીવનચક્રને સુવ્યવસ્થિત કરવા માટે સાધનો પૂરા પાડે છે, ડિઝાઇન અને પરીક્ષણથી લઈને દસ્તાવેજીકરણ અને જમાવટ સુધી.
વ્યાપક ખોટી ગોઠવણીઓ
CloudSEK એ જણાવ્યું હતું કે આ હજારો સાર્વજનિક રીતે ઍક્સેસિબલ વર્કસ્પેસ તૃતીય-પક્ષ API વિશે સંવેદનશીલ માહિતી લીક કરી રહ્યાં છે, જેમાં ઍક્સેસ ટોકન્સ, રિફ્રેશ ટોકન્સ અને તૃતીય-પક્ષ API કીનો સમાવેશ થાય છે. ખુલ્લી સંવેદનશીલ માહિતીમાં એડમિનિસ્ટ્રેટર ઓળખપત્રો, પેમેન્ટ પ્રોસેસિંગ API કી અને આંતરિક સિસ્ટમ્સની ઍક્સેસનો સમાવેશ થાય છે.
સંશોધકોએ વધુમાં જણાવ્યું હતું કે SMB થી લઈને મોટા ઉદ્યોગો સુધી તમામ આકાર અને કદની કંપનીઓ ડેટા લીક કરી રહી હતી. લીક થયેલી API કી અને એક્સેસ ટોકન્સના કેટલાક માલિકો હજુ પણ અજાણ્યા છે, કારણ કે અપૂરતી પરવાનગીઓ અને API મર્યાદાએ સંશોધકોને તેમને ઓળખવામાં અટકાવ્યા હતા.
અસરગ્રસ્ત મુખ્ય પ્લેટફોર્મ્સમાં GitHub (5,924 એક્સપોઝર), સ્લૅક (5,552), અને સેલ્સફોર્સ (4,206)નો સમાવેશ થાય છે, જ્યારે સૌથી વધુ ખુલ્લા ક્ષેત્રોમાં હેલ્થકેર, એથ્લેટિક એપેરલ અને નાણાકીય સેવાઓનો સમાવેશ થાય છે.
CloudSEK કહે છે કે ખોટી ગોઠવણી વ્યાપક છે, ઉમેર્યું છે કે સંસ્થાઓ “નોંધપાત્ર સુરક્ષા જોખમો” માટે ખુલ્લા છે, જેમાં “ગંભીર નાણાકીય અને પ્રતિષ્ઠિત નુકસાન” શામેલ છે.
“પોસ્ટમેન વર્કસ્પેસમાં ઘણીવાર API કી, ટોકન્સ, ઓળખપત્રો અને દસ્તાવેજો સહિત સંવેદનશીલ ડેટા હોય છે,” સંશોધકોએ જણાવ્યું હતું. “જ્યારે ગેરવહીવટ કરવામાં આવે છે, ત્યારે આ ડેટા દૂષિત અભિનેતાઓ માટે એક ખજાનો બની જાય છે જે નાણાકીય છેતરપિંડી, ડેટા ભંગ અને પ્રતિષ્ઠાને નુકસાન માટે નબળાઈઓનો ઉપયોગ કરવામાં સક્ષમ છે.”
ક્લાઉડસેકે જણાવ્યું હતું કે તેણે મોટાભાગની ઘટનાઓની જાણ તેની સંબંધિત સંસ્થાઓને કરી હતી, પરંતુ કેટલાએ પ્રતિભાવ આપ્યો અને કેવી રીતે તેની ચર્ચા કરી નથી. તે કહે છે કે પોસ્ટમેને નવા સુરક્ષા પગલાં અમલમાં મૂક્યા છે, જેમાં સક્રિય ગુપ્ત શોધ અને જ્યારે સંવેદનશીલ ડેટા જાહેર કાર્યક્ષેત્રોમાં જોવા મળે છે ત્યારે વપરાશકર્તા સૂચનાઓનો સમાવેશ થાય છે.