Eine ClickUp-Sicherheitslücke hat E-Mail-Adressen von Kunden durch einen einfachen, aber kritischen Fehler offengelegt. Ein Forscher entdeckte, dass ein fest codierter API-Schlüssel in einer öffentlichen JavaScript-Datei Zugriff auf sensible Daten ohne Authentifizierung ermöglichte.
Das Problem zeigt, wie einfache Fehlkonfigurationen erhebliche Risiken in weit verbreiteten SaaS-Plattformen verursachen können.
Fest codierter API-Schlüssel ermöglichte Datenzugriff
Die ClickUp-Sicherheitslücke geht auf einen offengelegten API-Schlüssel zurück, der in Client-Code eingebettet war. Mithilfe dieses Schlüssels rief der Forscher 959 E-Mail-Adressen ab, die Nutzern aus verschiedenen Organisationen zugeordnet waren.
Die Antwort enthielt außerdem interne Feature-Flags. Diese Flags zeigen, wie die Plattform Funktionen, Testumgebungen und Produktverhalten verwaltet.
Die Schwachstelle erforderte keine fortgeschrittenen Techniken. Eine einzige Anfrage genügte, um die Daten abzurufen.
Keine Authentifizierung für die Ausnutzung erforderlich
Die ClickUp-Sicherheitslücke erforderte keine Anmeldung oder besonderen Berechtigungen. Jeder, der den Frontend-Code der Plattform überprüfte, konnte den API-Schlüssel finden und erneut verwenden.
Diese Art der Offenlegung deutet auf schwache Praktiken im Umgang mit Geheimnissen hin. Sensible Zugangsdaten sollten niemals in öffentlich zugänglichem Code enthalten sein.
Der einfache Zugriff erhöht das Risiko eines Missbrauchs erheblich.
Schwachstelle blieb monatelang ungepatcht
Die ClickUp-Sicherheitslücke wurde Berichten zufolge Anfang 2025 über ein Responsible-Disclosure-Programm gemeldet. Der Forscher behauptet, dass das Problem über einen längeren Zeitraum ungelöst blieb.
Solche Verzögerungen erhöhen die Wahrscheinlichkeit, dass andere Akteure dieselbe Schwachstelle entdecken und ausnutzen.
Dies wirft auch Fragen darüber auf, wie Unternehmen gemeldete Sicherheitslücken priorisieren und behandeln.
Potenzial für tiefere Sicherheitsrisiken
Der Forscher identifizierte zudem ein zweites Problem im Zusammenhang mit der ClickUp-Sicherheitslücke. Diese Schwachstelle könnte es unter bestimmten Bedingungen ermöglichen, mit interner Cloud-Infrastruktur zu interagieren.
Die vollständigen Auswirkungen sind noch unklar, doch ein solcher Zugriff könnte Backend-Systeme offenlegen oder die Angriffsfläche erweitern.
Dies deutet darauf hin, dass das Problem über eine einfache Datenexponierung hinausgehen könnte.
Phishing-Risiken steigen nach Datenleck
Die ClickUp-Sicherheitslücke schafft klare Risiken für betroffene Nutzer. Offengelegte E-Mail-Adressen können für gezielte Phishing-Kampagnen genutzt werden.
Angreifer können Nachrichten erstellen, die legitim erscheinen, indem sie auf echte Tools oder Arbeitsabläufe Bezug nehmen. Dies erhöht die Erfolgswahrscheinlichkeit von Social-Engineering-Angriffen.
Selbst begrenzte Datenlecks können zu größeren Sicherheitsvorfällen führen.
Fazit
Die ClickUp-Sicherheitslücke zeigt, wie ein einzelner offengelegter API-Schlüssel zu erheblichen Datenexponierungen führen kann. Die Schwachstelle erforderte keine komplexe Ausnutzung, hatte aber dennoch reale Auswirkungen auf Nutzer.
Der Vorfall unterstreicht die Notwendigkeit eines besseren Geheimnismanagements und schnellerer Reaktionszeiten. Mit dem weiteren Wachstum von SaaS-Plattformen können selbst grundlegende Sicherheitsfehler weitreichende Folgen haben.
0 Kommentare zu „ClickUp-Sicherheitslücke legt E-Mails durch API-Schlüssel-Fehler offen“