Postman 工作区泄露 30000 个 API 密钥及敏感令牌

据Hackread消息，CloudSEK 的 TRIAD 团队于前日发现热门云开发测试平台Postman 工作区存在关键安全漏洞及风险，在为期一年的调查中，发现超 3 万个可公开访问的工作区泄露第三方 API 相关敏感信息，如访问令牌、刷新令牌和 API 密钥等，涉及众多行业组织，影响 GitHub、Slack、Salesforce 等主要平台。数据泄露原因包括访问配置不当、明文存储、公开共享集合等，可能导致财务和声誉受损等严重后果。CloudSEK 已向受影响组织通报，Postman 也实施了保密政策。