Die API -Testfirma APIEC hat bestätigt, dass es eine freiliegende interne Datenbank mit Kundendaten gesichert hat, die mehrere Tage ohne Passwort mit dem Internet verbunden war.
Die freigegebene APIEC -Datenbank speicherte Aufzeichnungen aus dem Jahr 2018, einschließlich Namen und E -Mail -Adressen der Mitarbeiter und Benutzer seiner Kunden sowie Details zur Sicherheitsstelle der Unternehmenskunden von APIEC.
Ein Großteil der Daten wurde von der APIEC generiert, da sie laut UPGUARD, dem Sicherheitsforschungsunternehmen, das die Datenbank gefunden hat, die APIs seiner Kunden für Sicherheitsschwächen überwacht.
Upguard fand die durchgesickerten Daten am 5. März und benachrichtigte am selben Tag die APIEC. APIEC sicherte sich kurz darauf die Datenbank.
Die APIEC, die behauptet, mit Fortune 500 -Unternehmen zusammengearbeitet zu haben, berechnet sich als Unternehmen, das APIs für seine verschiedenen Kunden testet. APIs erlauben zwei oder mehr Dinge im Internet, miteinander zu kommunizieren, z. B. die Back-End-Systeme eines Unternehmens, wobei Benutzer auf die App und seine Website zugreifen. Unsichere APIs können ausgenutzt werden, um sensible Daten aus den Systemen eines Unternehmens zu siphon.
In Ein jetzt veröffentlichter BerichtNach seiner Veröffentlichung wurde Tech geteilt und sagte, dass die exponierten Daten Informationen zu Angriffsflächen der Kunden von APIEC enthielten, z. Upguard sagte, diese Informationen könnten einem böswilligen Gegner nützliche technische Intelligenz bieten.
Als der APIEC -Gründer Faizel Lakhani um einen Kommentar von Tech erreicht hat, spielte er den Sicherheitsrücklauf zunächst herunter und sagte, dass die Datenbank „Testdaten“ enthielt, die APIEC zum Testen und Debuggen ihres Produkts verwendet. Lakhani fügte hinzu, dass die Datenbank „nicht unsere Produktionsdatenbank“ und „keine Kundendaten in der Datenbank“ sei. Lakhani bestätigte, dass die Exposition auf „menschlichen Fehler“ und keinen böswilligen Vorfall zurückzuführen war.
„Wir haben den öffentlichen Zugriff schnell geschlossen. Die Daten in der Datenbank sind nicht verwendbar“, sagte Lakhani.
Aber Upguard sagte, es habe Hinweise auf Informationen in der Datenbank im Zusammenhang mit realen Unternehmenskunden von APIEC gefunden, einschließlich der Ergebnisse von Scans aus den API-Endpunkten seiner Kunden für Sicherheitsprobleme.
Die Daten enthielten auch einige persönliche Informationen der Mitarbeiter und Benutzer seiner Kunden, einschließlich Namen und E -Mail -Adressen, sagte Upguard.
Lakhani war zurückgekehrt, als Tech dem Unternehmen nachweislich durchgesickerte Kundendaten lieferte. In einer späteren E -Mail teilte der Gründer mit, dass das Unternehmen am Tag des Berichts von Upguard eine Untersuchung abgeschlossen habe und „die Untersuchung diese Woche erneut neu aufgenommen habe“.
Lakhani sagte, das Unternehmen habe daraufhin Kunden mitgeteilt, deren persönliche Daten in der öffentlich zugänglichen Datenbank lag. Lakhani würde Tech, wenn er gefragt wurde, keine Kopie des Datenverstoßes zur Bekanntmachung, dass das Unternehmen angeblich an Kunden gesendet wurde.
Lakhani lehnte es ab, weiter zu kommentieren, als er gefragt wurde, ob das Unternehmen plant, die Staatsanwälte allgemein zu benachrichtigen, wie dies durch Datenverletzungsgesetze erforderlich ist.
Upguard fand auch eine Reihe privater Schlüssel für AWS und Anmeldeinformationen für ein Slack -Konto und ein Github -Konto im Datensatz, aber die Forscher konnten nicht feststellen, ob die Anmeldeinformationen aktiv sind, da die Verwendung der Anmeldeinformationen ohne Erlaubnis rechtswidrig wäre. APIEC sagte, die Schlüssel gehörten einem ehemaligen Mitarbeiter, der das Unternehmen vor zwei Jahren verlassen habe, und seien bei ihrer Abreise behindert. Es ist nicht klar, warum die AWS -Schlüssel in der Datenbank gelassen wurden.