Pada tanggal 27 April 2026, seorang peneliti keamanan mengungkap secara terbuka bahwa konfigurasi bendera fitur sisi klien ClickUp telah membocorkan informasi yang dapat mengidentifikasi individu. Secara spesifik, 893 alamat email pelanggan tertanam dalam aturan penargetan bendera fitur, beserta satu bendera yang secara tidak semestinya merujuk pada token API pelanggan, yang digunakan selama tanggapan insiden untuk membatasi laju lalu lintas dari ruang kerja tersebut.
Seharusnya kami menyadari hal ini lebih awal. Namun, kami tidak melakukannya, dan kami berkewajiban memberikan penjelasan yang jelas kepada Anda mengenai apa yang terjadi, alasannya, langkah-langkah yang telah kami ambil, serta upaya perbaikan yang akan kami lakukan ke depannya.
Apakah Anda terdampak?
Paparan tersebut terbatas pada 893 alamat email pelanggan yang digunakan dalam aturan penargetan fitur untuk mengontrol pengguna mana saja yang dapat melihat fitur tertentu selama peluncuran.
Jika Anda menerima pesan langsung sebelum atau pada tanggal 29 April (masih berlangsung), alamat email Anda termasuk dalam konfigurasi fitur flag. Jika Anda belum menerima kabar dari kami, alamat email Anda tidak tercantum dalam daftar alamat email tersebut.
- Tidak ada konten ruang kerja (tugas, dokumen, berkas, atau data proyek) yang bocor untuk pelanggan mana pun — dengan satu pengecualian potensial yang dijelaskan di bawah ini.
- Tidak ada kata sandi, data penagihan, atau kredensial akun yang bocor.
- Tidak ada sistem otentikasi yang diretas.
Masalah teknis
ClickUp menggunakan Split.io (kini menjadi bagian dari Harness) untuk pengelolaan fitur flag. Seperti kebanyakan SDK bendera fitur berbasis browser, Split.io memerlukan kunci SDK sisi klien yang disematkan dalam bundel JavaScript aplikasi. Kunci ini sengaja dibuat publik dan digunakan oleh SDK untuk mengevaluasi bendera bagi pengguna saat ini di browser. Ini adalah perilaku standar yang terdokumentasi di Split.io, LaunchDarkly, dan platform serupa, serta bukan merupakan kerentanan.
Intinya bukanlah masalahnya. Yang penting adalah apa yang dimasukkan oleh para insinyur kami ke dalam konfigurasi bendera.
Inilah yang terjadi dari segi arsitektur: platform fitur flag memungkinkan para insinyur untuk menargetkan pengguna tertentu dalam peluncuran fitur. Tim insinyur ClickUp telah menggunakan alamat email secara langsung dalam aturan penargetan fitur. Contohnya adalah mengaktifkan fitur untuk sekelompok penguji beta tertentu. Titik akhir splitChanges dari SDK Split.io yang dapat diakses publik mengembalikan kumpulan lengkap definisi fitur, termasuk aturan penargetan ini. Ini berarti siapa pun yang memiliki kunci sisi klien (yang, sekali lagi, sengaja ditempatkan dalam kode frontend kami) dapat mengambil definisi fitur tersebut dan mengekstrak alamat email yang tertanam di dalamnya.
Para insinyur memperlakukan konfigurasi flag sebagai alat internal, padahal arsitektur SDK dirancang agar konfigurasi tersebut dapat diakses secara publik. Hal itu menyebabkan alamat email menumpuk di tempat yang seharusnya tidak boleh ada. Pembaruan flag fitur memerlukan tinjauan rekan sejawat dengan tingkat +1, sama seperti pada kode. Langkah tinjauan ini tidak mendeteksi masalah tersebut.
Satu-satunya pengecualian – Sebuah flag yang dikonfigurasi untuk membatasi laju koneksi bagi satu pelanggan
Seorang insinyur piket yang menangani kasus penyalahgunaan API mencantumkan token API pelanggan dalam konfigurasi bendera pembatasan laju (rate-limiting) untuk membatasi lalu lintas, sehingga token tersebut berpotensi dapat dibaca melalui titik akhir (endpoint) SDK. Hal ini seharusnya tidak pernah terjadi: kredensial tidak boleh dimasukkan ke dalam konfigurasi bendera. Kami segera menonaktifkan token tersebut, dan hingga saat ini, hasil penyelidikan log kami tidak menunjukkan adanya tanda-tanda akses jahat selain penyelidikan yang dilakukan oleh peneliti itu sendiri. Tidak ada token pelanggan atau data ruang kerja lain yang dapat diakses, dan kami sedang bekerja sama langsung dengan pelanggan ini.
Apa yang terungkap dan apa yang tidak
| Klaim | Temuan kami |
| Kunci SDK tertanam secara permanen dalam paket | Benar dan memang dirancang demikian. Begitulah cara kerja SDK fitur flag di sisi browser. Ini bukanlah sebuah kerentanan. |
| 893 alamat email pelanggan dalam aturan penargetan berdasarkan bendera | Benar pada saat laporan ini dibuat. Semua alamat email pihak ketiga telah dihapus pada tanggal 28 April pukul 03:25 UTC. |
| Token API pelanggan aktif dalam konfigurasi bendera | Telah dikonfirmasi. Ditambahkan pada 7 Oktober 2025. Dibatalkan pada 27 April 2026 pukul 12:05 UTC. |
| Hak akses tulis ke Split.io | Benar dan memang dirancang demikian. Titik akhir telemetri SDK browser (events/bulk, testImpressions) menerima penulisan data sebagai bagian dari perilaku standar SDK. Ini bukanlah kesalahan konfigurasi ClickUp. |
| “Tidak ada tindakan perbaikan selama 15 bulan” | Penjelasan yang keliru; tanggalnya benar. Laporan bug bounty tanggal 17 Januari 2025 mengenai kunci SDK tidak menghasilkan tugas teknis karena kunci tersebut sendiri bukanlah kerentanan. Alamat email dan konfigurasi bendera lah yang menjadi masalah sebenarnya dan tidak termasuk dalam laporan asli ini. Konfigurasi bendera tersebut baru diungkapkan pada tanggal 8 April 2026 kepada HackerOne dan baru diketahui oleh ClickUp pada tanggal 27 April 2026. |
Garis Waktu
Kami berkomitmen untuk sepenuhnya transparan mengenai di mana proses kami mengalami kegagalan, termasuk kegagalan yang terjadi pada penyedia program hadiah bug pihak ketiga kami serta alat komunikasi internal kami sendiri.
| Tanggal | Acara |
| 17 Januari 2025 | Seorang peneliti melaporkan kebocoran kunci SDK Split.io ke program hadiah bug kami di BugCrowd. Berdasarkan isi laporannya, hal ini telah ditandai dengan tepat sebagai "informasional" oleh BugCrowd dan ClickUp. |
| 3 Juni 2025 | ClickUp memindahkan program hadiah bug ke HackerOne. Semua laporan sebelumnya telah berhasil dipindahkan, termasuk masalah di atas. |
| 8 April 2026 | Seorang peneliti dengan nama pengguna impulsive telah mengunggah laporan baru dan terperinci di HackerOne yang mendokumentasikan dampak yang lebih luas: 893 alamat email pelanggan dalam aturan penargetan, token API pelanggan yang aktif, serta data operasional lainnya. |
| 10 April 2026 | Seorang analis triase HackerOne secara keliru menutup laporan tersebut dengan alasan bahwa laporan tersebut merupakan duplikat dari laporan Januari 2025, tanpa menyadari bahwa laporan baru tersebut mendokumentasikan dampak yang secara substansial berbeda dan lebih luas. Setelah ditinjau lebih lanjut, kami mengidentifikasi dua kasus lain di mana laporan serupa ditutup secara keliru – satu pada tanggal 6 September 2025 dan satu lagi pada tanggal 1 Januari 2026 |
| 21 April 2026 | Peneliti tersebut membantah keputusan penutupan tersebut dengan memberikan penjelasan lebih lanjut kepada HackerOne. |
| 25 April 2026 | Peneliti tersebut meningkatkan upayanya: melalui HackerOne, ia mengirim email kepada CEO ClickUp dan alamat security@clickup.com, serta mengirim pesan langsung (DM) ke akun X ClickUp, sambil menetapkan batas waktu pengungkapan publik pada 2 Mei. Email-email yang ditujukan kepada CEO ClickUp dan alamat security@ tersebut tertangkap oleh filter spam dan tidak sampai ke penerima yang dituju. Pesan langsung (DM) di X yang ditujukan kepada ClickUp juga secara otomatis disaring dan tidak dibaca. |
| 27 April 2026 ~10:42 UTC | Peneliti tersebut mengumumkan hal tersebut secara terbuka di X. |
| 27 April 2026 11:06 UTC | ClickUp menerima pemberitahuan. Insiden dinyatakan terjadi. Proses Penanganan Insiden dimulai dan proses penggantian token API pelanggan pun diluncurkan. |
| 27 April 2026 12:53–14:12 UTC | Pembersihan awal bendera pemisahan di seluruh tim teknik. |
| 27 April 2026 ~17:00 UTC | Audit otomatis penuh terhadap seluruh 4.809 fitur bendera telah selesai. |
| 27 April 2026 23:13 UTC | Para insinyur ClickUp dan Harness (Split) meninjau detail teknis. |
| 28 April 2026 03:25 UTC | Semua alamat email pelanggan telah dipastikan dihapus dari konfigurasi bendera. Catatan: beberapa alamat email pihak ketiga sengaja tetap ada di dua bendera; hal ini terkait dengan penggunaan yang bersifat penipuan. |
Di mana proses kami mengalami kegagalan
Ada tiga hal yang salah di sini, dan kami ingin menjelaskannya satu per satu. Kami akan membahas perubahannya pada bagian berikutnya.
1. Tidak ada tindak lanjut lanjutan atas laporan awal. Laporan bug bounty bulan Januari 2025 seharusnya dapat memicu tugas teknis dan peninjauan terhadap data yang terdapat dalam konfigurasi flag. Namun, hal itu tidak terjadi. Kami sedang memperbarui proses triase kami untuk mencegah hal ini terulang di masa mendatang.
2. HackerOne salah menangani penutupan laporan duplikat. Laporan bulan April 2026 mendokumentasikan dampak yang secara substansial baru dibandingkan dengan laporan bulan Januari 2025. Laporan tersebut seharusnya tidak ditutup sebagai duplikat oleh HackerOne. Setelah ditinjau lebih lanjut, kami mengidentifikasi dua kasus lain di mana laporan serupa ditutup – satu pada 6 September 2025, dan satu lagi pada 1 Januari 2026. Kami sedang bekerja sama dengan HackerOne untuk mengatasi kelemahan dalam proses penyaringan mereka. Kami akan melakukan tinjauan sekunder terhadap semua laporan HackerOne untuk memastikan kami tidak bergantung pada proses pihak ketiga ke depannya.
3. Layanan email kami menandai laporan peneliti tersebut sebagai spam. Pada hari Sabtu, 25 April, peneliti tersebut mengirim email kepada CEO kami dan ke alamat security@clickup.com, serta mengirim pesan langsung ke akun X ClickUp.
Kami baru melihat email-email tersebut setelah postingan di X dipublikasikan. Email-email tersebut ditemukan setelah dilakukan penyelidikan internal terhadap folder spam dan penyaringan pesan langsung (DM) di X.
Kami sedang memperbarui proses penyaringan email dan peninjauan spam kami untuk memastikan bahwa komunikasi masuk yang berkaitan dengan keamanan tidak terabaikan begitu saja.
Tak satu pun dari hal tersebut dapat membenarkan masalah utamanya: data pelanggan seharusnya tidak pernah dimasukkan ke dalam konfigurasi fitur flag kami sejak awal.
Apa yang telah kami lakukan
Segera (telah diselesaikan)
- Token API pelanggan yang terpapar telah dinonaktifkan.
- Semua alamat email pelanggan telah dihapus dari konfigurasi fitur.
- Telah diterbitkan sebuah instruksi yang berlaku untuk seluruh divisi teknik yang melarang penggunaan PII atau kredensial dalam konfigurasi bendera.
- Telah menyelesaikan audit menyeluruh terhadap semua fitur pengaturan untuk informasi identitas pribadi (PII), kredensial, dan data sensitif.
Jangka pendek (sedang berlangsung)
- Aturan penyaringan email telah diperbarui untuk memastikan bahwa security@clickup.com menampilkan semua komunikasi keamanan yang masuk, serta menambahkan langkah proses untuk memeriksa pesan spam secara aman.
- Peninjauan alur kerja penyaringan program hadiah bug bersama HackerOne untuk mencegah laporan yang sah ditutup secara keliru.
- Pelatihan bagi peninjau fitur bendera mengenai konten apa saja yang telah disetujui.
Jangka panjang
- Pemindaian otomatis terhadap semua konfigurasi fitur flag untuk mendeteksi pola data pribadi (alamat email, token, kunci API) setiap kali terjadi perubahan pada fitur flag, disertai dengan penegakan pemblokiran.
- Proses otomatis dan perangkat untuk meninjau semua keputusan triase HackerOne.
- Terapkan proxy atau langkah teknis untuk memisahkan bendera front-end dan bendera back-end.
Catatan mengenai peneliti
Setelah ClickUp menghubungi peneliti yang mengungkap hal ini, yang menggunakan nama pengguna impulsive / @weezerOSINT, mereka bertindak secara bertanggung jawab dan memberikan semua informasi yang diminta.
Peneliti yang menggunakan nama samaran impulsive / @weezerOSINT tersebut telah melaporkan temuan tersebut melalui saluran yang tepat (HackerOne, kemudian melalui email langsung ke security@clickup.com dan CEO kami) serta bersikap konstruktif saat kami menghubunginya. Proses internal kami gagal mengidentifikasi laporan dan eskalasi tersebut tepat waktu.
Setelah berkoordinasi dengan peneliti tersebut, ClickUp menerima pesan berikut pada tanggal 28 April pukul 01.47 UTC: “Terima kasih [ClickUp], saya sangat menghargai kecepatan tanggapan Anda dalam menangani hal ini. Hal seperti ini jarang saya temui dan benar-benar membuat perbedaan.”
ClickUp memberikan hadiah bug bounty kepada peneliti tersebut atas temuan yang dilaporkan. Para peneliti lainnya didorong untuk bergabung dengan program Bug Bounty kami, melaporkan temuan secara bertanggung jawab melalui Program Pengungkapan Kerentanan kami, atau langsung melalui email ke security@clickup.com.
Ringkasan
Data yang bocor dalam insiden ini terbatas pada 893 alamat email – tidak ada konten ruang kerja, kata sandi, atau data penagihan milik pelanggan mana pun yang terpengaruh, kecuali satu pelanggan yang disebutkan di atas – kami sedang bekerja sama secara langsung dengan mereka untuk memastikan bahwa kunci tersebut tidak diakses secara tidak sah.
Kepada para pelanggan kami, kami mohon maaf yang sebesar-besarnya atas kejadian ini, dan kami akan berupaya semaksimal mungkin untuk memastikan hal serupa tidak terulang kembali.
Kami akan memperbarui postingan ini jika ada informasi baru yang terungkap. Jika Anda memiliki pertanyaan, silakan hubungi security@clickup.com.