История о том, как чувак зашёл на clickup, открыл исходники страницы и нашёл захардкоженный API-ключ прямо в JavaScript. Он просто скопировал ключ и отправил один GET-запрос.

В ответ прилетело 959 email-адресов и 3 165 внутренних feature-флагов.

Среди них – сотрудники Home Depot, Fortinet, Autodesk, Tenable, Rakuten, Mayo Clinic, Permira, Akin Gump, госслужащие из Вайоминга, Арканзаса, Северной Каролины, Монтаны, Квинсленда (Австралия) и Новой Зеландии, подрядчик Microsoft и 71 сотрудник ClickUp.

Fortinet продаёт enterprise-фаерволы. Tenable разрабатывает Nessus – сканер уязвимостей, которым пользуется половина индустрии. И email их сотрудников оказались раскрыты из-за того, что ClickUp захардкодил API-ключ стороннего сервиса в JavaScript-файле, который подгружается ещё до авторизации.

Об этом сообщили ClickUp через HackerOne ещё 17 января 2025 года. Сейчас апрель 2026-го – ключ так и не ротирован. Эндпоинт всё так же возвращает те же данные, все email по-прежнему доступны

ClickUp привлёк $535 млн при оценке в $4 млрд и заявляет, что их платформой пользуются 85% компаний из Fortune 500. Судя по всему, часть подтверждений этому до сих пор лежит прямо в исходниках страницы.

@IT_Portal