Postman Workspaces Leak 30000 API Keys and Sensitive Tokens
Postman Workspaces Leak 30000 API Keys and Sensitive Tokens
Follow us on Bluesky, Twitter (X) and Facebook at @Hackread
hackread.com
- 유출 규모
- CloudSEK에 따르면, Postman Workspaces에서 30,000건 이상의 공개 작업 공간이 확인되었으며, 이들 작업 공간에서 API 키, 토큰, 관리자 자격 증명과 같은 민감한 데이터가 유출됨
- 주요 플랫폼: GitHub, Slack, Salesforce 포함
- 유출 원인
- 잘못된 접근 제어 설정
- 민감한 데이터를 평문 저장
- Postman 컬렉션의 공개 공유
- 공개 저장소와의 동기화
- 영향
- 민감한 데이터 접근을 통한 데이터 침해 및 시스템 무단 접근
- 금전적 손실, 평판 손상 및 피싱 공격 가능성 증가
- 주요 API 서비스 및 기업에 악영향
- 가장 많이 노출된 서비스:
api.github.com,slack.com,hooks.slack.com - 고위험 서비스:
salesforce.com,login.microsoftonline.com,graph.facebook.com
- 가장 많이 노출된 서비스:
- 보안 권고
- 환경 변수 사용: API 키와 같은 민감한 데이터를 직접 하드코딩하지 말 것
- 토큰 회전: 정기적으로 토큰을 변경하여 유효 기간을 짧게 유지
- 비밀 관리 도구 활용: 외부 비밀 관리 솔루션 도입
- 컬렉션 및 환경 확인: 공유 전 민감한 데이터 포함 여부를 철저히 점검
- 권한 제한: 불필요한 권한 제거 및 최소 권한 원칙 준수
- Postman 대응 조치
- 비밀 보호 정책 도입
- 공개 작업 공간에 비밀 데이터가 감지될 경우 알림 제공
- 공개 API 네트워크에서 노출된 비밀이 포함된 작업 공간 제거
- 작업 공간 소유자에게 알림을 제공하여 문제 해결 기회 제공
- 전환 지원: 비공개 또는 팀 작업 공간으로 전환 지원
- 비밀 보호 정책 도입
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| AI 시대의 사이버 보안 위협과 대응 방안 (3) | 2024.12.30 |
|---|---|
| 보안 내재된 개발자 플랫폼으로 SW 공급망 위협 완화 (0) | 2024.12.30 |
| KB금융, 생성형 AI 활용한 혁신금융 도약 (3) | 2024.12.30 |
| 합성데이터 생성·활용 안내서: 안전한 데이터 활용을 위한 가이드 (0) | 2024.12.30 |
| AI 프라이버시 리스크 관리 모델 제시: 안전한 인공지능 시대를 위한 새로운 가이드라인 (0) | 2024.12.30 |