API test firması APISEC, parola olmadan birkaç gün boyunca internete bağlı olan müşteri verilerini içeren açık bir dahili veritabanını güvence altına aldığını doğruladı.
Maruz kalan APISEC veritabanı, müşterilerinin çalışanlarının ve kullanıcılarının adları ve e -posta adresleri ve APISEC’in kurumsal müşterilerinin güvenlik duruşuyla ilgili ayrıntılar da dahil olmak üzere 2018’e kadar uzanan kayıtları sakladı.
Veritabanını bulan güvenlik araştırma firması UpGuard’a göre, verilerin çoğu APISEC tarafından müşterilerinin güvenlik zayıflıkları için API’lerini izlediği için oluşturuldu.
UpGuard sızdırılan verileri 5 Mart’ta buldu ve aynı gün Apisec’e haber verdi. Apisec veritabanını kısa bir süre sonra güvence altına aldı.
Fortune 500 şirketleri ile çalıştığını iddia eden Apisec, kendisini çeşitli müşterileri için API’leri test eden bir şirket olarak faturalandırıyor. API’ler, internette iki veya daha fazla şey, bir şirketin arka uç sistemleri gibi, uygulamasına ve web sitesine erişen kullanıcılarla iletişim kurmasına izin verir. Güvensiz API’ler, bir şirketin sistemlerinden gelen hassas verileri sifonlamak için kullanılabilir.
İçinde Şimdi yayınlanmış bir raporTechCrunch ile piyasaya sürülmeden önce paylaşılan UpGuard, maruz kalan verilerin, çok faktörlü kimlik doğrulamasının bir müşterinin hesabında etkinleştirilip etkinleştirilmediğine dair ayrıntılar gibi APISEC müşterilerinin saldırı yüzeyleri hakkında bilgileri içerdiğini söyledi. UpGuard, bu bilgilerin kötü niyetli bir düşmana yararlı teknik zeka sağlayabileceğini söyledi.
TechCrunch tarafından yorum yapmak için ulaşıldığında, APISEC’in kurucusu Faizel Lakhani başlangıçta güvenlik atlamasını küçümsedi ve veritabanının Apisec’in ürününü test etmek ve hata ayıklamak için kullandığı “test verileri” içerdiğini söyledi. Lakhani, veritabanının “üretim veritabanımız değil” ve “veritabanında hiçbir müşteri verisi olmadığını” da sözlerine ekledi. Lakhani, maruziyetin kötü niyetli bir olay değil, “insan hatası” ndan kaynaklandığını doğruladı.
Lakhani, “Kamu erişimini hızla kapattık. Veritabanındaki veriler kullanılamıyor” dedi.
Ancak UpGuard, veritabanında APISEC’in gerçek dünya kurumsal müşterileri ile ilgili bilgi kanıtı bulduğunu ve güvenlik sorunları için müşterilerinin API uç noktalarından gelen taramaların sonuçları da dahil olmak üzere bilgi bulduğunu söyledi.
UpGuard, verilerin müşterilerinin çalışanlarının ve kullanıcılarının isimler ve e -posta adresleri de dahil olmak üzere bazı kişisel bilgilerini de içerdiğini söyledi.
Lakhani, TechCrunch şirkete sızdırılmış müşteri verileri kanıtı verdiğinde geri çekildi. Daha sonraki bir e -postada kurucu, şirketin UpGuard’ın raporunda bir soruşturma tamamladığını ve “Bu hafta tekrar geri dönüp soruşturmayı tekrar tekrarladığını” söyledi.
Lakhani, şirketin daha sonra kişisel bilgileri kamuya açık olan veritabanında olan müşterilere bildirildiğini söyledi. Lakhani, sorulduğunda, şirketin müşterilere gönderildiği iddia edilen veri ihlali bildiriminin bir kopyasını sağlamaz.
Lakhani, şirketin Veri ihlali bildirim yasalarının gerektirdiği şekilde Devlet Başsavcıları Genel olarak bilgilendirmeyi planlayıp planlamadığını sorduğunda daha fazla yorum yapmayı reddetti.
UpGuard ayrıca veri kümesindeki bir Slack hesabı ve GitHub hesabı için AWS ve kimlik bilgileri için bir dizi özel anahtar buldu, ancak araştırmacılar, izinsiz kimlik bilgilerini kullanmanın yasa dışı olacağı için kimlik bilgilerinin etkin olup olmadığını belirleyemedi. Apisec, anahtarların iki yıl önce şirketten ayrılan ve ayrıldıktan sonra devre dışı bırakılan eski bir çalışana ait olduğunu söyledi. AWS tuşlarının neden veritabanında bırakıldığı açık değil.
