A empresa de testes de API APISEC confirmou que garantiu um banco de dados interno exposto contendo dados do cliente, que foi conectado à Internet por vários dias sem uma senha.
O banco de dados APISEC exposto armazenou registros que datam de 2018, incluindo nomes e endereços de email dos funcionários e usuários de seus clientes, além de detalhes sobre a postura de segurança dos clientes corporativos da APISEC.
Muitos dos dados foram gerados pela APISEC, pois monitora as APIs de seus clientes para fraquezas de segurança, de acordo com a UpGuard, a empresa de pesquisa de segurança que encontrou o banco de dados.
UpGuard encontrou os dados vazados em 5 de março e notificou o APISEC no mesmo dia. O APISEC garantiu o banco de dados logo depois.
A Apisec, que afirma ter trabalhado com empresas da Fortune 500, se destaca como uma empresa que testa APIs para seus vários clientes. As APIs permitem que duas coisas ou mais na Internet se comuniquem, como os sistemas de back-end de uma empresa com usuários acessando seu aplicativo e site. As APIs inseguras podem ser exploradas para sifon, dados sensíveis aos sistemas de uma empresa.
Em um relatório agora publicado, compartilhado com a TechCrunch antes de seu lançamento, UpGuard disse que os dados expostos incluíam informações sobre superfícies de ataque dos clientes da APISEC, como detalhes sobre se a autenticação de vários fatores foi ativada na conta de um cliente. Upguard disse que essas informações podem fornecer inteligência técnica útil a um adversário malicioso.
Quando alcançado para comentar pelo TechCrunch, o fundador da APISEC, Faizel Lakhani, subestimou inicialmente o lapso de segurança, dizendo que o banco de dados continha “dados de teste” que a APISEC usa para testar e depurar seu produto. Lakhani acrescentou que o banco de dados “não era nosso banco de dados de produção” e “nenhum dado de cliente estava no banco de dados”. Lakhani confirmou que a exposição foi devida a “erro humano” e não a um incidente malicioso.
“Nós rapidamente fechamos o acesso público. Os dados no banco de dados não são utilizáveis”, disse Lakhani.
Mas o UpGuard disse que encontrou evidências de informações no banco de dados relacionadas aos clientes corporativos do mundo real da APISEC, incluindo os resultados das verificações dos pontos de extremidade da API de seus clientes para problemas de segurança.
Os dados também incluíram algumas informações pessoais dos funcionários e usuários de seus clientes, incluindo nomes e endereços de e -mail, disse UpGuard.
Lakhani voltou quando a TechCrunch forneceu à empresa evidências de dados vazados do cliente. Em um e -mail posterior, o fundador disse que a empresa concluiu uma investigação no dia do relatório de UpGuard e “voltou e reduziu a investigação novamente nesta semana”.
Lakhani disse que a empresa notificou os clientes posteriormente cujas informações pessoais estavam no banco de dados que era acessível ao público. Lakhani não forneceria o TechCrunch, quando solicitado, uma cópia do aviso de violação de dados que a empresa supostamente enviou aos clientes.
Lakhani se recusou a comentar mais quando perguntado se a empresa planeja notificar os procuradores -gerais do estado, conforme exigido pelas leis de notificação de violação de dados.
A UpGuard também encontrou um conjunto de chaves privadas para a AWS e credenciais para uma conta Slack e conta do GitHub no conjunto de dados, mas os pesquisadores não conseguiram determinar se as credenciais estavam ativas, pois o uso das credenciais sem permissão seria ilegal. A APISEC disse que as chaves pertenciam a um ex -funcionário que deixou a empresa há dois anos e foi desativado após sua partida. Não está claro por que as teclas da AWS foram deixadas no banco de dados.