Les leçons de la violation de données du facteur : Lacunes et solutions en matière de sécurité des API
Table des matières
En décembre 2024, L'équipe TRIAD de CloudSEK a découvert un problème de sécurité critique dans la plateforme de développement et de test d'API Postman. Des informations sensibles, notamment des clés d'API, des jetons d'accès et des jetons de rafraîchissement, ont été divulguées à partir de 30 000 espaces de travail publics.
Cette découverte choquante a exposé les entreprises et les professionnels à un risque important, ruinant du même coup la réputation de Postman.
Comment cela s'est-il produit ? Voyons comment la violation de données du Postman a affecté des milliers d'entreprises dans le monde entier et quel a été l'impact sur le secteur dans son ensemble.
Que s'est-il passé lors de la fuite de données du facteur ?
Facteur s'est imposé comme un outil convivial de test et de création d'API, utilisé par 30 millions d'organisations dans le monde. La forte utilisation de Postman par les développeurs a rendu la découverte de vulnérabilités critiques d'autant plus pénible, augmentant le risque d'attaques futures de la part d'acteurs menaçants.
La violation de données du facteur en chiffres...
- 18% des points d'extrémité de l'API ayant fait l'objet d'une fuite étaient connectés à GitHub.
- Le commerce électronique et les systèmes de paiement ont contribué à 3.9% de toutes les fuites au niveau des points d'extrémité.
- Les points de terminaison de l'API Dropbox sont constitués 7% du total des fuites.
La violation de données de Postman montre à quel point il est possible d'accéder à des données sensibles et de les diffuser, même sur des plateformes réputées et fiables.
Quelles sont les failles de sécurité intégrées dans Postman ?
Postman est une plateforme conçue pour rendre la collaboration facile et efficace. Malheureusement, cela signifie également que les pratiques de sécurité peuvent être insuffisantes. Le contenu sur Postman.com peuvent être accessibles au public en fonction de la manière dont les utilisateurs configurent les paramètres de visibilité. des données sensibles peuvent fuir en raison de la négligence ou du manque de connaissances du développeur.
Voici les causes profondes de la violation de données de Postman, tel qu'identifié par CloudSEK:
- Partage accidentel de collections et d'environnements: L'accent mis par Postman sur la collaboration a conduit à ce que des données sensibles soient partagées sans discernement, augmentant ainsi les risques d'accès non autorisé.
- Contrôles d'accès mal configurés: Les espaces de travail étaient souvent définis comme "publics" au lieu de "privés", exposant ainsi les données aux moteurs de recherche et aux utilisateurs externes.
- Synchronisation avec les dépôts publics: Les collections synchronisées avec des plateformes telles que GitHub sans masquage ni assainissement menacent d'exposer des données sensibles à toute personne ayant accès au dépôt.
- Stockage de données sensibles en texte clair: Postman, par défaut, enregistre les données sensibles dans un format de texte brut sans aucun cryptage, ce qui permet à toute personne ayant accès à l'espace de travail de consulter des données potentiellement sensibles.
- Gestion minimale des secrets : De nombreux utilisateurs ont choisi de ne pas utiliser les outils de gestion des secrets de Postman, mettant ainsi en danger les données sensibles.
Un graphique à barres montrant les dépôts publics les plus touchés par la fuite de données de Postman. Source.
Pourquoi les espaces de travail Postman constituent-ils un vecteur d'attaque de plus en plus important ?
Les pratiques peu sûres utilisées par Postman sans garde-fou de sécurité ont conduit à l'exposition de données sensibles, donnant aux attaquants une fenêtre sur l'organisation compromise.
Voici comment les attaques peuvent utiliser différentes vulnérabilités pour causer des dommages :
- Exploiter les clés d'API exposées: Les attaquants peuvent utiliser les clés API exposées dans Postman pour accéder à des données sensibles et les exfiltrer.
- Prendre le contrôle des jetons d'API exposés: Les acteurs de la menace peuvent prendre le contrôle des jetons divulgués en générant leurs propres demandes d'API afin d'accéder aux systèmes internes et de faire remonter rapidement les problèmes.
- Usurpation de l'identité d'un utilisateur à l'aide d'informations d'identification divulguées: Les attaquants peuvent se faire passer pour des utilisateurs légitimes en utilisant des informations d'identification volées, telles que des noms d'utilisateur et des mots de passe.
- Vol de secrets d'affaires confidentiels: Les cybercriminels peuvent exfiltrer des secrets commerciaux confidentiels et potentiellement vendre ces données à des concurrents.
Comment les attaquants ont-ils exploité les données exposées de Postman ?
Quand les dossiers des clients du secteur de la santé ont fait l'objet d'une fuite
La violation de données de Postman a exposé des dossiers sensibles de clients du secteur de la santé en raison d'espaces de travail mal configurés. Des identifiants d'administrateurs Zendesk actifs ont été divulgués, ce qui a permis à des acteurs menaçants de causer des dommages à l'entreprise de soins de santé et au grand public.
Les informations d'identification de l'API de Razorpay ont été violées
Razorpay, une plateforme de paiement en ligne, a vu de nombreuses clés API fuir accidentellement des espaces de travail Postman partagés publiquement.
Les clés API ont été conçues pour se connecter en toute sécurité à Razorpay à partir de Postman, mais elles n'ont pas été protégées et sont restées vulnérables aux acteurs de la menace. Des données telles que les noms d'utilisateur et les mots de passe de Razorpay ont été divulguées, laissant la porte ouverte à la fraude financière ou à l'utilisation abusive des systèmes de paiement de l'entreprise.
Le jeton de rafraîchissement d'un grand éditeur de logiciels de gestion de la relation client (CRM) a été exposé.
Une plateforme CRM populaire a exposé ses jetons de rafraîchissement et ses secrets de session, ainsi que les points de terminaison de l'API, afin que les acteurs de la menace puissent générer leurs propres jetons d'accès.
Les utilisateurs non autorisés peuvent désormais détourner les sessions utilisateur pour accéder directement aux systèmes. De là, les attaquants peuvent accéder aux données des clients et à d'autres informations pour extorquer des fonds aux organisations.
Dans un exemple, les chercheurs ont découvert que les clés API permettaient un accès administratif complet aux ressources critiques du nuage. Les attaquants peuvent utiliser cet accès pour déployer des codes malveillants, exfiltrer des données sensibles ou perturber les services.
Les informations d'identification de l'API New Relic ont été divulguées
New Relic, une plateforme d'analyse en temps réel, était souvent utilisée par les utilisateurs de Postman pour surveiller et enregistrer les API. Lors de la fuite de données de Postman, les clés API de New Relic ont également été exposées, ce qui pourrait potentiellement permettre aux acteurs de la menace d'accéder aux journaux des systèmes et des applications, aux données d'utilisation des produits, aux données sur le trafic réseau et aux informations d'identification des utilisateurs.
Les données peuvent exposer l'infrastructure TIC interne et permettre aux acteurs de la menace d'obtenir un accès non autorisé et de mener des attaques complexes.
Comment une violation des données du facteur pourrait-elle affecter votre entreprise ?
Quelles sont les conséquences d'une sécurité insuffisante ?
Voici quelques-uns des risques associés à une violation, quelle qu'en soit l'ampleur.
- Entrave à l'activité des entreprises : Les organisations perdent du temps à gérer les retombées de l'incident, ce qui entraîne une perte de productivité.
- Atteinte à la réputation : Les organisations risquent de perdre des clients et des partenaires en cas de fuite de données.
- Pertes financières: Les attaques peuvent utiliser les vulnérabilités pour extorquer des fonds, déployer des ransomwares ou des logiciels malveillants, et endommager les systèmes internes, entraînant une perte de revenus.
- Augmentation des attaques de phishing et d'ingénierie sociale : Les attaquants peuvent exploiter les informations légitimes qu'ils ont acquises pour s'infiltrer plus profondément dans l'organisation par les moyens suivants les attaques par hameçonnage et ingénierie sociale.
Prévenir les violations de données en 2025
Un état d'esprit axé sur la sécurité signifie que l'on se concentre sur les mesures préventives et la surveillance continue.
Voici comment éviter les fuites de Postman :
- Restreindre les autorisations: Ne partagez les collections et les environnements qu'avec les personnes qui ont réellement besoin d'y accéder. Vérifiez régulièrement les autorisations et évitez de partager les environnements sensibles à l'échelle de l'organisation.
- Réduire au minimum l'utilisation de jetons à longue durée de vie: Optez autant que possible pour des jetons à courte durée de vie et mettez en place une rotation automatisée des jetons, afin de réduire les risques en cas d'exposition d'un jeton.
- Examen avant partage: Avant de partager une collection ou un environnement, vérifiez soigneusement si des informations sensibles sont stockées dans des variables ou des requêtes.
- Tirer parti de la gestion externe des secrets: Utiliser des outils dédiés à la gestion des secrets pour stocker et récupérer des informations sensibles en toute sécurité afin de réduire le risque d'exposition.
- Contrôler et surveiller l'accès: Utilisez les journaux d'activité de Postman pour suivre le partage et l'accès. Des audits réguliers permettent d'identifier les personnes qui ont accès aux données sensibles et de détecter les activités suspectes avant qu'elles ne causent des dommages.
Depuis l'attaque, l'analyse secrète de Postman a été mise en œuvre pour aider les utilisateurs à mieux suivre les données exposées. Toutefois, seuls les espaces de travail publics sont analysés, ce qui laisse les espaces privés en danger si les attaquants y ont déjà accès.
Comment la nouvelle fonctionnalité de CybelAngel peut-elle résoudre ce problème ?
Des espaces de travail mal configurés peuvent avoir des effets dévastateurs sur une organisation.
Cybel Angel surveille automatiquement et quotidiennement Postman, détectant les fuites avant qu'elles ne se transforment en brèches.
Les espaces de travail mal configurés peuvent avoir des effets dévastateurs sur une organisation, non seulement parce qu'ils exposent des projets et des données internes, mais aussi parce qu'ils contiennent souvent des informations d'identification sensibles telles que des noms d'utilisateur et des mots de passe, ou des clés et des jetons d'API, stockés en clair ou partagés par inadvertance.
Sur des plateformes telles que Postman, de telles erreurs de configuration ont entraîné la fuite d'informations d'identification dans des milliers d'espaces de travail publics, donnant ainsi aux pirates la possibilité d'accéder à des systèmes critiques, d'exfiltrer des données sensibles, voire d'effectuer des transactions non autorisées.
La plateforme External Threat Intelligence de CybelAngel est conçue pour traiter les risques liés à Postman avec des capacités intégrées pour prévenir les menaces liées à Postman. En outre, Rapports d'incidents prêts pour le CERT fournissent des informations détaillées et exploitables sur les violations, ce qui vous permet de réagir avant que les attaquants ne causent des dommages.
Réservez une démonstration pour en savoir plus.
À propos de l'auteur
