شرکت تست APIsec در پی نقص امنیتی، داده‌های مشتریان را افشا کرد
خانهاخبارشرکت تست APIsec در پی نقص امنیتی، داده‌های مشتریان را افشا کرد

شرکت تست APIsec در پی نقص امنیتی، داده‌های مشتریان را افشا کرد

تاریخ انتشار:

شرکت تست APIsec در پی نقص امنیتی، داده‌های مشتریان را افشا کرد

افشای داده‌های مشتریان APIsec

شرکت تست APIsec تأیید کرده است که یک پایگاه داده داخلی که حاوی اطلاعات مشتریان بود، به مدت چند روز بدون رمز عبور به اینترنت متصل بود و در نتیجه، در معرض افشا قرار گرفت.

این پایگاه داده افشا شده شامل سوابقی از سال ۲۰۱۸ بود که شامل نام‌ها و آدرس‌های ایمیل کارکنان و کاربران مشتریان آن، همچنین جزئیاتی درباره وضعیت امنیتی مشتریان شرکتی APIsec بود.

بسیاری از این داده‌ها توسط APIsec تولید شده است زیرا این شرکت APIهای مشتریان خود را برای نقاط ضعف امنیتی زیر نظر دارد، به گفته UpGuard، شرکتی که این پایگاه داده را کشف کرده است.

UpGuard این داده‌های افشا شده را در تاریخ ۵ مارس پیدا کرد و همان روز به APIsec اطلاع داد. APIsec به سرعت پایگاه داده را ایمن کرد.

عملکرد APIsec و اهمیت امنیت API

APIsec که ادعا می‌کند با شرکت‌های Fortune 500 همکاری کرده است، خود را به عنوان شرکتی معرفی می‌کند که APIها را برای مشتریان مختلف خود آزمایش می‌کند. APIها به دو یا چند سیستم در اینترنت اجازه می‌دهند تا با یکدیگر ارتباط برقرار کنند، مانند سیستم‌های پشتیبان یک شرکت با کاربرانی که به برنامه و وب‌سایت آن دسترسی دارند. APIهای ناامن می‌توانند مورد سوءاستفاده قرار گیرند تا داده‌های حساس از سیستم‌های یک شرکت استخراج شود.

در گزارشی که اکنون منتشر شده و قبل از انتشار با TechCrunch به اشتراک گذاشته شده است، UpGuard گفت که داده‌های افشا شده شامل اطلاعاتی درباره سطوح حمله مشتریان APIsec است، مانند جزئیاتی درباره اینکه آیا احراز هویت چندعاملی در حساب یک مشتری فعال بوده است یا خیر. UpGuard اظهار داشت که این اطلاعات می‌تواند به عنوان یک اطلاعات فنی مفید برای یک دشمن بدخواه عمل کند.

واکنش APIsec به افشای داده‌ها

هنگامی که TechCrunch برای اظهار نظر با APIsec تماس گرفت، فایزل لاهانی، بنیان‌گذار این شرکت، در ابتدا نقص امنیتی را کم‌اهمیت جلوه داد و گفت که پایگاه داده حاوی "داده‌های آزمایشی" است که APIsec برای آزمایش و رفع اشکال محصول خود استفاده می‌کند. لاهانی افزود که این پایگاه داده "پایگاه داده تولیدی ما نیست" و "هیچ داده مشتری در پایگاه داده وجود نداشت." لاهانی تأیید کرد که این افشا به دلیل "خطای انسانی" بوده و نه یک حادثه بدخواهانه.

لاهانی گفت: "ما به سرعت دسترسی عمومی را بستیم. داده‌های موجود در پایگاه داده قابل استفاده نیستند."

اما UpGuard گفت که شواهدی از اطلاعات موجود در پایگاه داده مربوط به مشتریان واقعی شرکتی APIsec پیدا کرده است، از جمله نتایج اسکن‌های انجام شده از نقاط پایانی API مشتریان آن برای مسائل امنیتی.

این داده همچنین شامل برخی اطلاعات شخصی از کارکنان و کاربران مشتریان آن، از جمله نام‌ها و آدرس‌های ایمیل بود، به گفته UpGuard.

تحقیق و اطلاع‌رسانی به مشتریان

لاهانی زمانی که TechCrunch شواهدی از داده‌های افشاشده مشتریان را به شرکت ارائه داد، عقب‌نشینی کرد. در ایمیل بعدی، بنیان‌گذار گفت که شرکت در روز گزارش UpGuard یک تحقیق را به پایان رسانده و "این هفته دوباره تحقیق را انجام دادیم."

لاهانی گفت که شرکت به مشتریانی که اطلاعات شخصی آنها در پایگاه داده عمومی در دسترس بود، اطلاع‌رسانی کرده است. لاهانی در پاسخ به سوال TechCrunch مبنی بر اینکه آیا شرکت قصد دارد به دادستان‌های عمومی ایالت‌ها طبق قوانین اطلاع‌رسانی نقض داده‌ها اطلاع دهد، از ارائه توضیحات بیشتر خودداری کرد.

UpGuard همچنین یک مجموعه کلید خصوصی برای AWS و اعتبارنامه‌های یک حساب Slack و حساب GitHub در مجموعه داده‌ها پیدا کرد، اما محققان نتوانستند تعیین کنند که آیا این اعتبارنامه‌ها فعال هستند یا خیر، زیرا استفاده از این اعتبارنامه‌ها بدون اجازه غیرقانونی خواهد بود. APIsec گفت که این کلیدها متعلق به یک کارمند سابق است که دو سال پیش از شرکت خارج شده و در زمان خروج آنها غیرفعال شده‌اند. مشخص نیست که چرا کلیدهای AWS در پایگاه داده باقی مانده‌اند.

در نهایت، این حادثه به عنوان یک یادآوری مهم در مورد اهمیت امنیت داده‌ها و ضرورت نظارت دقیق بر سیستم‌های IT و APIها در دنیای دیجیتال امروز عمل می‌کند.

Keys on a red background
منبع:Techcrunch
در حال بارگذاری نظرات...
نظر شما:
0/800