Ένα δημόσια προσβάσιμο αρχείο JavaScript στην αρχική σελίδα του ClickUp διέρρευσε σιωπηλά σχεδόν χίλιες εταιρικές και κυβερνητικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένων υπαλλήλων από Fortinet, Home Depot, Tenable, Mayo Clinic και υπαλλήλους της πολιτείας των ΗΠΑ, μέσω ενός κωδικοποιημένου κλειδιού API τρίτων κατασκευαστών που αναφέρθηκε για πρώτη φορά τον Ιανουάριο του 2025 από τον Απρίλιο του 2020.
Η έκθεση αποκαλύφθηκε από έναν ερευνητή ασφαλείας που επισκέφτηκε την αρχική σελίδα του ClickUp, επιθεώρησε την πηγή της σελίδας και βρήκε ένα κλειδί API με σκληρό κώδικα ενσωματωμένο απευθείας σε ένα αρχείο JavaScript, ένα που φορτώνεται πριν πραγματοποιηθεί οποιοσδήποτε έλεγχος ταυτότητας χρήστη.
Ένα μεμονωμένο αίτημα GET χωρίς έλεγχο ταυτότητας χρησιμοποιώντας το κλειδί επέστρεψε 959 διευθύνσεις email και 3.165 εσωτερικές σημαίες χαρακτηριστικών, χωρίς να απαιτούνται διαπιστευτήρια, καμία παράκαμψη και κανένα περίπλοκο εργαλείο.
Τα δεδομένα που διέρρευσαν καλύπτουν μια ανησυχητική διατομή του επιχειρηματικού και του κυβερνητικού τοπίου: υπαλλήλους από τις Home Depot, Fortinet, Autodesk, Tenable, Rakuten, Mayo Clinic, Permira και την δικηγορική εταιρεία Akin Gump, μαζί με κρατικούς υπαλλήλους από το Ουαϊόμινγκ, το Αρκάνσας, τη Βόρεια Καρολίνα, τη Μοντάνα, το Κουίνσλαντ (Αυστραλία) και έναν υπάλληλο της Microsoft7, καθώς και έναν υπάλληλο της Microsoft7, καθώς και έναν υπάλληλο της New ZeeU.
Εκτέθηκε κλειδί API με σκληρό κώδικα
Η έκθεση έχει ιδιαίτερο βάρος, δεδομένου του ποιος επηρεάζεται. Η Fortinet κατασκευάζει εταιρικά τείχη προστασίας που χρησιμοποιούνται παγκοσμίως για την υπεράσπιση κρίσιμων υποδομών. Η Tenable κατασκευάζει το Nessus, τον σαρωτή ευπάθειας που έχει αναπτυχθεί σε σημαντικό τμήμα της βιομηχανίας της κυβερνοασφάλειας.
Η έκθεση των διευθύνσεων email των εργαζομένων από αυτούς τους οργανισμούς μέσω της ατημέλητης μυστικής διαχείρισης μιας πλατφόρμας παραγωγικότητας δημιουργεί μια επιφάνεια άμεσης επίθεσης για στοχευμένο ηλεκτρονικό ψάρεμα, γέμιση διαπιστευτηρίων και εκστρατείες κοινωνικής μηχανικής ενάντια στις ίδιες τις εταιρείες που είναι επιφορτισμένες με την υπεράσπιση άλλων.
Οι 3.165 εσωτερικές σημαίες χαρακτηριστικών που διέρρευσαν μαζί με τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι εξίσου ανησυχητικές, αποκαλύπτοντας εσωτερικά σήματα ανάπτυξης προϊόντων, λειτουργίες beta και διαμορφώσεις δοκιμών A/B που θα μπορούσαν να βοηθήσουν την ανταγωνιστική ευφυΐα ή να διευκολύνουν στοχευμένη κατάχρηση πλατφόρμας.
Η ευπάθεια αναφέρθηκε για πρώτη φορά στο ClickUp μέσω του HackerOne στις 17 Ιανουαρίου 2025.
Από τα τέλη Απριλίου 2026, περισσότερο από 15 μήνες αργότερα, το κλειδί API δεν είχε περιστραφεί. Ο ερευνητής επιβεβαίωσε ότι τα δεδομένα ήταν ακόμα ζωντανά, αφού έβγαλε την πλήρη απάντηση λίγα λεπτά πριν η αποκάλυψη δημοσιοποιηθεί
Αυτή δεν είναι ημέρα μηδέν. Είναι μια μη επιδιορθωμένη γνωστή ευπάθεια που βρίσκεται στην παραγωγή, συγκομίζοντας αθόρυβα τα εταιρικά PII για περισσότερο από ένα χρόνο.
Το ClickUp συγκέντρωσε 535 εκατομμύρια δολάρια σε αποτίμηση 4 δισεκατομμυρίων δολαρίων και ισχυρίζεται δημόσια ότι το 85% του Fortune 500 χρησιμοποιεί την πλατφόρμα του.
Τα σκληρά κωδικοποιημένα μυστικά στην JavaScript από την πλευρά του πελάτη παραμένουν μία από τις πιο καλά τεκμηριωμένες και αποτρέψιμες κατηγορίες ευπάθειας στη σύγχρονη ανάπτυξη ιστού, καθιστώντας αυτό το σφάλμα ακόμη πιο δύσκολο να δικαιολογηθεί στην κλίμακα και τις προσδοκίες στάσης ασφαλείας του ClickUp.
Το ClickUp δεν έχει αναγνωρίσει δημόσια τη συνεχιζόμενη έκθεση κατά τη στιγμή της δημοσίευσης.
VIA: cybersecuritynews.com
