E太平音尘，近期CloudSEK的TRIAD团队涌现了Postman Workspaces（一个时兴的基于云的API开拓和测试平台）的告急太平罅隙和危害。

　　正在为期一年的考核中，磋市井员涌现凌驾30,000个公然可拜望的职责区吐露了闭于第三方API的敏锐讯息，征求拜望令牌、改革令牌和第三方API密钥。

　　按照该公司与享的申报，吐露的数据涵盖了各个行业从幼型企业到大型企业，影响GitHub、Slack和Salesforce等闭键平台。受影响的症结行业征求医疗保健、运动装束和金融效劳，使机闭面对繁多挟造和太平危害。

　　磋市井员指出，导致这些数据吐露的常见做法征求偶然享Postman集中、拜望负责摆设差错、与公然可拜望的存储库同步，以及正在未经加密的景况下以明文时势存储敏锐数据。

　　这些罅隙不妨导致告急后果。吐露的数据征求照料员左证、付来历置API密钥和对内部体例的拜望权限，不妨导致受影响机闭遭遇财政和声誉损害。

　　吐露的API密钥或拜望令牌可认为攻击者供应对症结体例和数据的直接拜望权限，不妨导致数据吐露、未经授权的体例拜望以及扩张收集垂钓和社会工程攻击。

　　Postman平日存储敏锐讯息，如API密钥、神秘和一面身份讯息（PII）。为确保数据太平，机闭应明智地应用途境变量，限度权限，避免应用恒久令牌，应用表部神秘照料，并正在共享任何集中或处境之行实行双重检验。

　　为了避免此类揭露，CloudSEK促使机闭选用更牢靠的太平方法，比方应用途境变量以避免硬编码敏锐数据，限度权限，频仍轮换令牌，欺骗秘要照料东西，并正在共享之前幼心检验集中。

　　另表，Postman正在披露这些涌现后推行了一项神秘回护战略，以避免敏锐数据正在大家职责区中被揭露。该战略会正在检测到秘要时指示用户，供应治理计划，并督促过渡到私有或团队职责区。

　　“从本月最先，咱们将从公有API收聚积移除那些已知含有揭露密钥的大家职责区。跟着咱们推出这项战略改动，含有密钥的大家职责区的扫数者将会被知照，并有机遇正在他们的职责区被从收聚积移除之前，先移除那些揭露的密钥。”公司指出。