ClickUpのセキュリティ脆弱性が主要Fortune 500企業に関連する959件のメールアドレスを公開

人気の高い生産性向上プラットフォームClickUpの重大なセキュリティ脆弱性により、Fortune 500企業および政府機関に関連する959件のメールアドレスを含む機密データが公開されました。

主な脆弱性は、ClickUpの本番JavaScriptバンドルに残されているハードコーディングされたSplit.io SDKトークンに起因しています。

このスクリプトは、ユーザーがプラットフォームのコンテンツデリバリーネットワークにアクセスするたびに自動的に読み込まれます。

攻撃者はこの脆弱性を悪用するためにアカウントまたはアクティブなセッションを必要としません。ページのソースコードを表示するだけで、誰でも自由にSDKキーを抽出できます。

セキュリティ研究者「@weezerOSINT」が脆弱性を公開し、1年以上修正されていないとされる基本的なセキュリティプラクティスの深刻な問題を明らかにしました。

このコンプロマイズされたトークンを使用すると、Split.io APIへの単一リクエストで4.5MBの機密バックエンドデータが返されます。

この大規模なデータ流出により、3つの国の政府職員や主要エンタープライズクライアントの従業員を含む959件のメールアドレスが公開されました。

ハードコーディングされたAPIキーがデータを公開

データ流出の他に、研究者はClickUpのwebhook API内で極めて重大なサーバーサイドリクエストフォージェリ（SSRF）脆弱性を発見しました。

システムは基本的なSSRF保護が不足しており、外部入力によってサーバーが内部リクエストを強制的に実行させられる可能性があります。

脆弱性を実証するために、研究者は無料のClickUpアカウントを作成し、AWSメタデータサービスを指すWebhookをセットアップしました。

単純なタスク作成を通じてWebhookをトリガーすることで、システムはAWS Identity and Access Management（IAM）の内部認証情報を正常に返すリクエストを発火させました。

このタイプの脆弱性により、脅威行為者は内部クラウドインフラストラクチャに直接ピボットできるようになり、単純なアプリケーションの欠陥が潜在的な本格的なクラウド侵害に変わります。

これらの欠陥の深刻さにもかかわらず、開示プロセスは大きな障害に遭遇しました。研究者がSplit.ioトークン漏洩を報告した際、ClickUpはわずか2日後にチケットをクローズしました。

同社は2025年1月に元々提出された既存の脆弱性レポートの重複としてマークしました。

これは、プラットフォームが15ヶ月間公開されたデータを認識していながら、何の改善措置も講じていなかったことを示しています。

利用可能なすべての主要なコンプライアンスバッジを持っているにもかかわらず、自動チェックと定期的な監査は、15ヶ月間のハードコーディングされたAPIキー漏洩またはフリーティアの保護されていないSSRFエンドポイントをフラグに立てることに失敗しました。

この事件は、ここ数週間で、大手企業がこの研究者に関する政府データ漏洩を無視した2度目のケースであり、数日前のFireflies.aiでの同様の認証されていない公開に続くものです。