Un archivo JavaScript de acceso público en la página de inicio de ClickUp ha estado filtrando silenciosamente casi mil direcciones de correo electrónico corporativas y gubernamentales, incluyendo empleados de Fortinet, Home Depot, Tenable, Mayo Clinic y trabajadores de gobiernos estatales de EE.UU., a través de una clave de API de terceros codificada de forma fija que fue reportada por primera vez en enero de 2025 y sigue sin rotarse hasta abril de 2026.

La exposición fue descubierta por un investigador de seguridad que visitó la página de inicio de ClickUp, inspeccionó el código fuente de la página y encontró una clave de API codificada directamente en un archivo JavaScript, uno que se carga antes de que ocurra cualquier autenticación de usuario.

Una sola solicitud GET no autenticada usando la clave devolvió 959 direcciones de correo electrónico y 3.165 indicadores de características internas, sin requerir credenciales, sin bypass y sin herramientas sofisticadas de ningún tipo.

Los datos filtrados abarcan un alarmante espectro del panorama empresarial y gubernamental: empleados de Home Depot, Fortinet, Autodesk, Tenable, Rakuten, Mayo Clinic, Permira y el bufete de abogados Akin Gump, junto con trabajadores gubernamentales de Wyoming, Arkansas, Carolina del Norte, Montana, Queensland (Australia) y Nueva Zelanda, además de un contratista de Microsoft y 71 empleados de ClickUp.

Clave de API codificada expuesta

La exposición tiene un peso particular, dado quiénes están afectados. Fortinet fabrica firewalls empresariales utilizados globalmente para defender infraestructuras críticas. Tenable desarrolla Nessus, el escáner de vulnerabilidades desplegado en una parte significativa de la industria de la ciberseguridad.

Tener expuestas las direcciones de correo electrónico de empleados de estas organizaciones a través de una mala gestión de secretos en una plataforma de productividad crea una superficie de ataque directa para campañas de phishing dirigido, relleno de credenciales e ingeniería social contra las mismas empresas encargadas de defender a otros.

Los 3.165 indicadores de características internas filtrados junto con los correos son igualmente preocupantes, ya que revelan señales de desarrollo interno de productos, funciones en beta y configuraciones de pruebas A/B que podrían ayudar en inteligencia competitiva o facilitar el abuso dirigido de la plataforma.

La vulnerabilidad fue reportada por primera vez a ClickUp a través de HackerOne el 17 de enero de 2025.

Hasta finales de abril de 2026, más de 15 meses después, la clave de API no había sido rotada. El investigador confirmó que los datos seguían activos, habiendo obtenido la respuesta completa minutos antes de que se hiciera pública la divulgación.

Esto no es un zero-day. Es una vulnerabilidad conocida sin parchear que ha estado en producción, recolectando silenciosamente información personal identificable (PII) empresarial durante más de un año.

ClickUp ha recaudado $535 millones con una valoración de $4.000 millones y afirma públicamente que el 85% de las empresas Fortune 500 utilizan su plataforma.

Los secretos codificados en JavaScript del lado del cliente siguen siendo una de las clases de vulnerabilidades más documentadas y prevenibles en el desarrollo web moderno, lo que hace que este descuido sea aún más difícil de justificar a la escala y las expectativas de postura de seguridad de ClickUp.

ClickUp no ha reconocido públicamente la exposición en curso en el momento de la publicación.