ClickUp procurivao email adrese zaposlenih iz Fortune 500 kompanija preko hardkodiranog API kljuca
ClickUp je godinama procurivao email adrese zaposlenih iz Fortune 500 kompanija preko hardkodiranog API ključa.
Šta se desilo?
Javno dostupna JavaScript datoteka na početnoj strani ClickUp platforme sadržala je hardkodirani API ključ treće strane koji je omogućavao neovlašćeni pristup osetljivim podacima. Preko jednostavnog GET zahteva, bilo ko je mogao da pristupi 959 email adresa zaposlenih iz velikih korporacija i vladnih institucija, kao i 3.165 internih zastavica funkcionalnosti. Iako je izveštaj stiže još od januara 2025. godine, ključ nije rotiran sve do aprila 2026.
Koga pogađa?
Izloženost utiče na zaposlene iz velikih kompanija kao što su Fortinet, Home Depot, Tenable, Mayo Clinic, Autodesk, Rakuten i druge, kao i na vladine radnike iz američkih država (Vajoming, Arkansas, Severna Karolina, Montana) i država van SAD-a (Kvinsland, Novi Zeland). Takođe su zahvaćeni zaposleni ClickUp-a (71) i Microsoft podučivač. Posebnu zabrinutost predstavlja izloženost zaposlenih iz Fortineta (proizvođač enterprise zaštitnih zidova) i Tenable-a (kreatori skenera ranjivosti Nessus).
Kako se zaštititi?
- Proverite da li su vase email adrese uključene u procurele podatke kroz dostupne baze podataka breša
- Budite oprezni sa email porukama od nepoznatih pošiljaoca - izložene adrese su idealna meta za phishing kampanje
- Aktivirajte dvofaktorsku autentifikaciju na svim važnim nalozima
- Razmotrite promenu lozinki za kritične sisteme, naročito ako ste koristili iste lozinke na više platformi
- Pratite aktivnost na bankarskim i finansijskim nalozima zbog rizika od credential stuffing napada
Tehnički detalji
Ranjivost je otkrivena još 17. januara 2025. godine preko HackerOne platforme. Hardkodirani API ključ je bio ugrađen direktno u JavaScript datoteku koja se učitava pre bilo kakvog korisničkog upoznavanja. Pristup podacima nije zahtevao nikakve kredencijale niti sofisticirane alate - samo jedan neuvereni GET zahtev sa otkrivenim ključem. Izlozeni podaci obuhvataju email adrese i interne zastavice razvoja proizvoda koje mogu pomoći napadačima da bolje razumeju infrastrukturu platforme.
Preporuka Sajber Radara
Hardkodirani tajni ključevi u JavaScript datokama na klijentskoj strani predstavljaju jedan od najčešće dokumentovanih i najlakše sprečivih tipova ranjivosti u savremenoj web razvoju. Činjenica da je ClickUp - kompanija vredna 4 milijarde dolara koja služi 85% Fortune 500 kompanija - dozvolila da ova osnovna greška bezbednosti ostane neispravljena više od 15 meseci predstavlja ozbiljan alarm za sve koji koriste njenu platformu.