API geliştirme platformu Postman kullanıcıları arasında yaşanan yaygın yapılandırma hataları, on binlerce çalışma alanında hassas bilgilerin açığa çıkmasına neden oluyor. CloudSEK tarafından yapılan araştırmaya göre, bu yanlış yapılandırmalar üçüncü taraf API anahtarları, erişim belirteçleri ve yönetici kimlik bilgileri gibi kritik verilerin sızmasına yol açıyor.
Çalışma alanlarındaki riskler
Postman, API geliştirme sürecini kolaylaştırmak için tasarlanmış bir platform olarak yaygın bir şekilde kullanılıyor. Ancak, CloudSEK’in tespit ettiği 30.000’den fazla açık çalışma alanı, kullanıcıların yanlış yapılandırmaları nedeniyle güvenlik açıkları yaratıyor. Sızdırılan bilgiler arasında ödeme sistemleri API anahtarları, şirket içi sistemlere erişim bilgileri ve hassas belgeler yer alıyor. Bu tür hatalar, siber saldırganlar için büyük bir fırsat sağlıyor.
En çok etkilenen platformlar arasında GitHub, Slack ve Salesforce bulunuyor. Ayrıca, sağlık sektörü, finans hizmetleri ve spor giyim endüstrisi gibi farklı sektörler de bu veri sızıntılarından etkilenmiş durumda.
CloudSEK, sızıntıların çoğunu ilgili kuruluşlara rapor ettiğini ancak çoğunun nasıl yanıt verdiğini paylaşmadığını belirtiyor. Bununla birlikte, Postman, gizli verilerin ifşa edilmesini önlemek için bazı yeni güvenlik önlemleri aldı. Bunlar arasında proaktif gizli bilgi tespiti ve kullanıcıların hassas veriler içerdiğinde uyarılması yer alıyor.
Hatalı yapılandırmalar nedeniyle oluşan bu riskler, şirketlere hem mali hem de itibar kaybı yaşatabilir. Güçlü erişim kontrolleri, düzenli güvenlik denetimleri ve kullanıcı farkındalığı bu tür sorunların önlenmesinde kritik rol oynayacaktır.
