Ведущая компания по тестированию API APIsec обнародовала данные клиентов в результате сбоя безопасности

Исследователи обнаружили незащищенную базу данных, содержащую конфиденциальные данные клиентов. Она принадлежит компании APIsec, специализирующейся на тестировании безопасности API. Пострадавшим клиентам, как сообщается, были отправлены уведомления.

APIsec, компания, специализирующаяся на проактивном, автоматизированном и непрерывном тестировании безопасности API, могла ненамеренно слить конфиденциальные данные клиентов в онлайн. Об этом заявили эксперты.

Обнаружение было сделано первоначально исследователями по кибербезопасности UpGuard и позже подтверждено самой компанией. Данные хранились в базе данных, подключенной к интернету, которая не была защищена паролем, и, по-видимому, оставалась такой в течение «нескольких» дней, прежде чем была заблокирована после того, как UpGuard уведомила APIsec.

Поскольку компания отслеживает API своих клиентов на предмет уязвимостей безопасности, большая часть данных была сгенерирована ее собственными продуктами. Некоторые из данных датировались 2018 годом и включали имена сотрудников и пользователей-клиентов, адреса электронной почты, а также информацию о состоянии безопасности API. Поскольку эти данные включали такие вещи, как то, активировано ли двухфакторная аутентификация или нет, это тип информации, который может оказаться весьма полезным для злоумышленника.

APIsec первоначально попыталась преуменьшить важность инцидента, заявив, что база данных содержала «тестовые данные», что она не являлась производственной базой данных компании и не содержала данные клиентов, но изменила свою позицию, когда ей была предоставлена информация, свидетельствующая об обратном. По-видимому, UpGuard нашел доказательства того, что база данных также содержала данные реальных корпоративных клиентов, включая имена и адреса электронной почты, а также результаты сканирования.

Когда TechCrunch поделился этой информацией с APIsec, она позже заявила, что уведомила клиентов, чья личная информация была найдена в данных. Однако компания не хотела говорить о том, сколько человек пострадало, и не хотела делиться копией письма об утечке.

Незащищенные базы данных остаются одной из основных причин утечек конфиденциальных данных. Многие организации используют облако для хранения информации о своих сотрудниках, клиентах или клиентах, забывая о том, что модель хостинга в облаке основана на совместной ответственности.