La société de test API APISEC a confirmé qu’il avait sécurisé une base de données interne de l’exposition contenant des données clients, qui a été connectée à Internet pendant plusieurs jours sans mot de passe.
La base de données APISEC exposée stockée enregistrés datant de 2018, y compris les noms et les ajouts par e-mail des employés et utilisateurs de ses clients, ainsi que des détails sur la posture de sécurité des clients d’entreprise d’APISEC.
Selon Upguard, le cabinet de recherche de Security, la société de sécurité qui a trouvé la base de données.
Upguard a trouvé les données divulguées le 5 mars et a informé l’APISEC le même jour. APISEC a sécurisé la base de données peu de temps après.
APISEC, qui prétend avoir travaillé avec les sociétés du Fortune 500, se présente en tant qu’entreprise qui teste les API pour ses différents clients. Les API permettent à deux choses ou plus sur Internet de communiquer entre elles, comme les systèmes back-end d’une entreprise, les utilisateurs accédant à son application et au site Web. Les API non sécurisées peuvent être exploitées pour les données SEPHON sensibles du système d’une entreprise.
Dans un rapport maintenant publié, qui a été partagé avec TechCrunch avant sa sortie, Upguard a déclaré que les données de l’exposition comprennent des informations sur les surfaces d’attaque des clients d’APIsec, telles que des détails sur la question de savoir si l’authentification multi-facteurs a été activée sur le compte d’un client. Upguard a déclaré que ces informations sont cette intelligence technique utile à des adversaires malveillants.
Lorsqu’il a été contacté pour commenter par TechCrunch, le fondateur d’Apisec, Faizel Lakhani, a initialement minimisé le laps de sécurité, affirmant que la base de données contenait des «données de test» qu’APIseecs pour tester et déboguer son produit. Lakhani a ajouté que la base de données n’était «pas notre base de données de production» et «aucune donnée client n’était dans la base de données». Lakhani a confirmé que l’exposition était due à «l’erreur humaine» et non à un incident malveillant.
« Nous avons rapidement fermé l’accès public. Les données de la base de données ne sont pas utilisables », a déclaré Lakhani.
Mais UpGuard a déclaré avoir trouvé des preuves d’informations dans la base de données relatives aux clients des entreprises réelles d’APISEC, y compris les résultats des analyses des points de terminaison de l’API de ses clients pour les problèmes de sécurité.
Les données ont également inclus des informations personnelles sur les employés et les utilisateurs de ses clients, y compris les noms et les adresses e-mail, a déclaré Upguard.
Lakhani a fait un retour en arrière lorsque TechCrunch a fourni à l’entreprise des preuves de données client divulguées. Dans un courriel ultérieur, le fondateur a déclaré que la société avait terminé une enquête sur le jour du rapport de Upguard et «est retourné et a révisé l’enquête cette semaine».
Lakhani a déclaré que la société a par la suite informé les clients dont les informations personnelles se trouvaient dans la base de données accessibles au public. Lakhani ne fournirait pas TechCrunch, lorsqu’on lui a demandé une copie de la violation de données, la société aurait sénable aux clients.
Lakhani a refusé de commenter davantage lorsqu’on lui a demandé si la société prévoyait d’informer les procureurs généraux de l’État, comme l’exige les lois sur la notification de violation de données.
Upguard a également trouvé un ensemble de clés privées pour AWS et des informations d’identification pour un compte Slack et un compte GitHub dans l’ensemble de données, mais les chercheurs n’ont pas pu déterminer si les informations d’identification étaient actives, car l’utilisation des informations d’identification sans autorisation serait ulante. APISEC a déclaré que les clés appartenaient à une forme employée qui a quitté l’entreprise il y a deux ans et était handicapée à leur départ. Il n’est pas clair pourquoi les touches AWS ont été laissées dans la base de données.
