أكدت شركة اختبار API APISEC أنها حصلت على قاعدة بيانات داخلية مكشوفة تحتوي على بيانات العميل ، والتي كانت متصلة بالإنترنت لعدة أيام بدون كلمة مرور.
تخزين قاعدة بيانات APISEC المكشوفة السجلات التي تعود إلى عام 2018 ، بما في ذلك الأسماء وعناوين البريد الإلكتروني لموظفي عملائها ومستخدميها ، بالإضافة إلى تفاصيل حول الموقف الأمني لعملاء الشركات في APISEC.
تم إنشاء جزء كبير من البيانات بواسطة Apisec لأنها تراقب واجهات برمجة تطبيقات عملائها للحصول على نقاط الضعف الأمنية ، وفقًا لـ UpGuard ، شركة أبحاث الأمن التي وجدت قاعدة البيانات.
عثر Upguard على البيانات التي تم تسريبها في 5 مارس وأبلغت Apisec في نفس اليوم. قامت Apisec بتأمين قاعدة البيانات بعد فترة وجيزة.
APISEC ، التي تدعي أنها عملت مع شركات Fortune 500 ، تتصدر نفسها كشركة تختبر واجهات برمجة التطبيقات لعملائها المختلفين. تتيح واجهات برمجة التطبيقات لأمرين أو أكثر على الإنترنت التواصل مع بعضها البعض ، مثل أنظمة الشركة الخلفية مع المستخدمين الذين يصلون إلى تطبيقه وموقعه الإلكتروني. يمكن استغلال واجهات برمجة التطبيقات غير الآمنة لبيانات Siphon الحساسة من أنظمة الشركة.
في تقرير تم نشره الآن ، والذي تمت مشاركته مع TechCrunch قبل إصداره ، قال Upguard إن البيانات المكشوفة تضمنت معلومات حول أسطح الهجوم لعملاء Apisec ، مثل تفاصيل ما إذا كان قد تم تمكين المصادقة متعددة العوامل على حساب العميل. وقال Upguard إن هذه المعلومات يمكن أن توفر ذكاءً تقنيًا مفيدًا لخصم خبيث.
عندما تم التوصل إليها للتعليق من قبل TechCrunch ، قلل مؤسس Apisec Faizel Lakhani في البداية من شغل انقضاء الأمان ، قائلاً إن قاعدة البيانات تحتوي على “بيانات اختبار” تستخدمها APISEC لاختبار منتجها وتصحيحه. وأضاف Lakhani أن قاعدة البيانات كانت “قاعدة بيانات الإنتاج الخاصة بنا” و “لا توجد بيانات عميل كانت في قاعدة البيانات”. أكد كهاني أن التعرض يرجع إلى “خطأ بشري” ، وليس حادثًا خبيثًا.
وقال كهاني: “لقد أغلقنا وصولًا للجمهور بسرعة. البيانات الموجودة في قاعدة البيانات ليست قابلة للاستخدام”.
لكن UpGuard قالت إنها عثرت على دليل على المعلومات في قاعدة البيانات المتعلقة بعملاء الشركات في العالم الحقيقي من Apisec ، بما في ذلك نتائج عمليات الفحص من نقاط نهاية واجهة برمجة تطبيقات عملائها لقضايا الأمان.
وقالت UpGuard إن البيانات تضمنت أيضًا بعض المعلومات الشخصية لموظفي عملائها ومستخدميها ، بما في ذلك الأسماء وعناوين البريد الإلكتروني.
تراجعت Lakhani عندما زودت TechCrunch للشركة أدلة على بيانات العميل التي تم تسريبها. في رسالة بريد إلكتروني لاحقة ، قال المؤسس إن الشركة أكملت تحقيقًا في يوم تقرير Upguard و “عادت وإعادة التحقيق مرة أخرى هذا الأسبوع”.
وقال لخاني إن الشركة قد أبلغت فيما بعد العملاء الذين كانت معلوماتهم الشخصية في قاعدة البيانات التي كان من الممكن الوصول إليها للجمهور. لن يوفر Lakhani نسخة TechCrunch ، عند سؤالها ، نسخة من خرق البيانات التي يُزعم أن الشركة قد أرسلت إلى العملاء.
ورفض كهاني التعليق بشكل أكبر عندما سئل عما إذا كانت الشركة تخطط لإخطار محامي الدولة العام كما هو مطلوب بموجب قوانين إخطار خرق البيانات.
عثر Upguard أيضًا على مجموعة من المفاتيح الخاصة لـ AWS وبيانات الاعتماد لحساب Slack وحساب GitHub في مجموعة البيانات ، ولكن لم يتمكن الباحثون من تحديد ما إذا كانت بيانات الاعتماد نشطة ، حيث أن استخدام بيانات الاعتماد دون إذن سيكون غير قانوني. وقال Apisec إن المفاتيح تنتمي إلى موظف سابق غادر الشركة قبل عامين وتم تعطيله عند مغادرته. ليس من الواضح سبب ترك مفاتيح AWS في قاعدة البيانات.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
