Perusahaan Pengujian API Apisec Telah mengonfirmasi bahwa ia mendapatkan database internal yang terekspos yang berisi data pelanggan, yang terhubung ke Internet selama beberapa hari tanpa kata sandi.
Catatan tersimpan database APISEC yang terpapar berasal dari tahun 2018, termasuk nama dan alamat email karyawan dan pengguna pelanggannya, serta perincian tentang postur keamanan pelanggan perusahaan APISEC.
Sebagian besar data dihasilkan oleh APISEC karena memantau API pelanggannya untuk kelemahan keamanan, menurut Upguard, perusahaan riset keamanan yang menemukan database.
Upguard menemukan data yang bocor pada 5 Maret dan memberi tahu APISEC pada hari yang sama. APISEC mengamankan database segera setelah itu.
APISEC, yang mengklaim telah bekerja dengan perusahaan Fortune 500, menagih dirinya sebagai perusahaan yang menguji API untuk berbagai pelanggannya. API memungkinkan dua hal atau lebih di internet untuk berkomunikasi satu sama lain, seperti sistem back-end perusahaan dengan pengguna yang mengakses aplikasi dan situs webnya. API yang tidak aman dapat dieksploitasi untuk menyedot data sensitif dari sistem perusahaan.
Di dalam laporan yang sekarang diterbitkanyang dibagikan dengan TechCrunch sebelum dirilis, Upguard mengatakan data yang diekspos termasuk informasi tentang permukaan serangan pelanggan APISEC, seperti perincian tentang apakah otentikasi multi-faktor diaktifkan pada akun pelanggan. Upguard mengatakan informasi ini dapat memberikan kecerdasan teknis yang bermanfaat bagi musuh jahat.
Ketika dijangkau untuk dikomentari oleh TechCrunch, pendiri APISEC Faizel Lakhani awalnya mengecilkan selang keamanan, mengatakan bahwa database berisi “data uji” yang digunakan APISEC untuk menguji dan men -debug produknya. Lakhani menambahkan bahwa database adalah “bukan database produksi kami” dan “tidak ada data pelanggan dalam database.” Lakhani mengkonfirmasi bahwa paparan itu karena “kesalahan manusia,” dan bukan insiden jahat.
“Kami dengan cepat menutup akses publik. Data dalam database tidak dapat digunakan,” kata Lakhani.
Tetapi Upguard mengatakan menemukan bukti informasi dalam database yang berkaitan dengan pelanggan perusahaan dunia nyata APISEC, termasuk hasil pemindaian dari titik akhir API pelanggan untuk masalah keamanan.
Data juga menyertakan beberapa informasi pribadi karyawan dan pengguna pelanggannya, termasuk nama dan alamat email, kata Upguard.
Lakhani mundur ketika TechCrunch memberi perusahaan bukti data pelanggan yang bocor. Dalam email selanjutnya, pendiri mengatakan perusahaan menyelesaikan penyelidikan pada hari laporan Upguard dan “kembali dan mengembalikan penyelidikan lagi minggu ini.”
Lakhani mengatakan perusahaan kemudian memberi tahu pelanggan yang informasi pribadinya ada dalam database yang dapat diakses secara publik. Lakhani tidak akan memberikan TechCrunch, ketika ditanya, salinan pemberitahuan pelanggaran data yang diduga dikirim perusahaan kepada pelanggan.
Lakhani menolak berkomentar lebih lanjut ketika ditanya apakah perusahaan berencana untuk memberi tahu jaksa agung negara bagian sebagaimana disyaratkan oleh undang -undang pemberitahuan pelanggaran data.
Upguard juga menemukan satu set kunci pribadi untuk AWS dan kredensial untuk akun Slack dan akun GitHub dalam dataset, tetapi para peneliti tidak dapat menentukan apakah kredensial aktif, karena menggunakan kredensial tanpa izin akan melanggar hukum. APISEC mengatakan kunci -kunci itu milik seorang mantan karyawan yang meninggalkan perusahaan dua tahun lalu dan dinonaktifkan setelah kepergian mereka. Tidak jelas mengapa kunci AWS ditinggalkan dalam database.
