La firma de pruebas de API APISEC ha confirmado que aseguró una base de datos interna expuesta que contenía datos del cliente, que estuvo conectado a Internet durante varios días sin contraseña.
La base de datos APISEC expuesta almacenó registros que datan de 2018, incluidos nombres y direcciones de correo electrónico de los empleados y usuarios de sus clientes, así como detalles sobre la postura de seguridad de los clientes corporativos de APISEC.
APISEC generó gran parte de los datos, ya que monitorea las API de sus clientes para las debilidades de seguridad, según UpGuard, la firma de investigación de seguridad que encontró la base de datos.
UpGuard encontró los datos filtrados el 5 de marzo y notificó a APISEC el mismo día. APISEC aseguró la base de datos poco después.
APISEC, que afirma haber trabajado con Fortune 500 Companies, se factura como una empresa que prueba API para sus diversos clientes. Las API permiten que dos cosas o más en Internet se comuniquen entre sí, como los sistemas de fondo de una empresa con usuarios que acceden a su aplicación y sitio web. Las API inseguras se pueden explotar a datos confidenciales de sifón de los sistemas de una empresa.
En un informe ahora publicado, que se compartió con TechCrunch antes de su lanzamiento, UpGuard dijo que los datos expuestos incluían información sobre superficies de ataque de los clientes de APISEC, como detalles sobre si la autenticación multifactor se habilitaba en la cuenta de un cliente. Upguard dijo que esta información podría proporcionar inteligencia técnica útil a un adversario malicioso.
Cuando TechCrunch, el fundador de APISEC, Faizel Lakhani, inicialmente minimizó el lapso de seguridad, diciendo que la base de datos contenía “datos de prueba” que APISEC usa para probar y depurar su producto. Lakhani agregó que la base de datos “no era nuestra base de datos de producción” y “no hay datos de clientes en la base de datos”. Lakhani confirmó que la exposición se debió al “error humano” y no a un incidente malicioso.
“Rápidamente cerramos el acceso público. Los datos en la base de datos no se pueden usar”, dijo Lakhani.
Pero Upguard dijo que encontró evidencia de información en la base de datos relacionada con los clientes corporativos del mundo real de APISEC, incluidos los resultados de los escaneos de los puntos finales de API de sus clientes para problemas de seguridad.
Los datos también incluyeron información personal de los empleados y usuarios de sus clientes, incluidos nombres y direcciones de correo electrónico, dijo Upguard.
Lakhani retrocedió cuando TechCrunch proporcionó a la compañía evidencia de datos filtrados del cliente. En un correo electrónico posterior, el fundador dijo que la compañía completó una investigación el día del informe de Upguard y “volvió y rehizo la investigación nuevamente esta semana”.
Lakhani dijo que la compañía notificó posteriormente a los clientes cuya información personal estaba en la base de datos a la que era accesible públicamente. Lakhani no proporcionaría TechCrunch, cuando se le preguntó, una copia de la notificación de violación de datos que la compañía supuestamente envió a los clientes.
Lakhani declinó hacer más comentarios cuando se le preguntó si la Compañía planea notificar a los Fiscales Generales del Estado según lo requerido por las leyes de notificación de violación de datos.
Upguard también encontró un conjunto de claves privadas para AWS y credenciales para una cuenta floja y una cuenta de GitHub en el conjunto de datos, pero los investigadores no pudieron determinar si las credenciales estaban activas, ya que usar las credenciales sin permiso sería ilegal. APISEC dijo que las llaves pertenecían a un ex empleado que dejó la compañía hace dos años y estaban discapacitados a su partida. No está claro por qué las claves de AWS se dejaron en la base de datos.
