Thought Leadership
Sicherheitsforscher decken kritische Mängel bei ClickUp auf. Ein harter API-Key im Quellcode leakt Hunderte E-Mails von Großkonzernen und Behörden.
Eigentlich sollte ClickUp dabei helfen, Projekte zu strukturieren und Teams zu organisieren. Doch ein Sicherheitsforscher mit dem Pseudonym Impulsive hat nun eine unschöne Entdeckung öffentlich gemacht, die das Vertrauen in die Plattform erschüttern könnte. Durch eine einfache HTTP-Anfrage an einen hartcodierten API-Key im JavaScript-Quellcode lassen sich sensible Daten von fast 1.000 Kunden abgreifen. Darunter befinden sich E-Mails von Mitarbeitern namhafter Konzerne wie Home Depot, Fortinet und Autodesk sowie Daten von Regierungsmitarbeitern.
Harter API-Key ermöglicht Zugriff auf sensible Kundendaten
Die Schwachstelle basiert auf einem im JavaScript-Bundle versteckten SDK-Token für die Plattform Split.io. Dieser Dienst wird normalerweise zur Steuerung von Software-Features und für A/B-Tests genutzt. Laut dem Forscher ist für den Zugriff weder ein Account noch eine aktive Session bei ClickUp nötig. Ein Blick in den Seitenquelltext genügt, um den Schlüssel zu finden. Eine einzige Anfrage an die API von Split.io liefert daraufhin etwa 4,5 Megabyte an internen Konfigurationsdaten der Plattform zurück.
Über 1000 Feature-Flags und E-Mails von Großkonzernen im Netz
Das Ausmaß der geleakten Informationen ist beachtlich. Der Forscher konnte nach eigenen Angaben 959 E-Mail-Adressen und 3.165 interne Feature-Flags extrahieren. Diese Daten enthalten nicht nur Whitelists für bestimmte Funktionen, sondern auch Details zu Preisstufen für KI-Dienste, Experimente zur Kündigungsprävention und sogar IP-Whitelists für Ratenbegrenzer. Betroffen sind Mitarbeiter von Schwergewichten wie Rakuten, der Mayo Clinic, Tenable und Permira. Dass solche Informationen offen im Netz stehen, ist besonders kritisch, da sie für gezielte Phishing-Angriffe gegen die betroffenen Unternehmen missbraucht werden können.
Zweite Lücke erlaubt Scan der gesamten AWS-Infrastruktur
Als wäre der Datenleak nicht schon genug, berichtet der Forscher von einer weiteren kritischen Schwachstelle, die er am 8. April 2026 über HackerOne gemeldet hat. Diese erlaube es, die gesamte AWS-Infrastruktur von ClickUp über einen kostenlosen Account zu scannen. In seinen Meldungen dokumentierte der Forscher Port-Scans, Redirect-Ketten zu internen Metadaten-Diensten (IMDS) und den Zugriff auf Redis-Instanzen. ClickUp selbst wird auf dem Papier durch Zertifizierungen wie SOC 2 Type 2, ISO 27001 und PCI DSS abgesichert. Der Fall zeigt jedoch deutlich, dass solche Siegel keine Garantie gegen fundamentale Programmierfehler bieten.
Ein Jahr Ignoranz von ClickUp trotz Meldung über HackerOne
Was den Forscher besonders verärgert, ist die Reaktionszeit des Unternehmens. Die erste Lücke rund um den Split.io-Key wurde bereits am 17. Januar 2025 gemeldet. Seit weit über einem Jahr sei das Problem bekannt, ohne dass eine Behebung erfolgt wäre oder eine Belohnung über das Bug-Bounty-Programm gezahlt wurde. Auch direkte Kontaktversuche beim CEO blieben laut Aussagen des Forschers auf der Plattform X erfolglos. Dieser Frust führte schließlich zur öffentlichen Bekanntgabe der Mängel.
Handlungsempfehlungen für betroffene Unternehmen
IT-Verantwortliche in Unternehmen, die ClickUp nutzen, sollten prüfen, ob ihre Mitarbeiter auf den Whitelists für interne Funktionen stehen könnten. Da E-Mail-Adressen potenziell im Umlauf sind, empfiehlt es sich, die Belegschaft für gezielte Phishing-Versuche zu sensibilisieren. ClickUp-Nutzer mit administrativen Rechten sollten zudem ihre eigenen Sicherheits-Logs im Auge behalten.
