افتضاح امنیتی: افشای داده‌های مشتریان توسط شرکت آزمایش APIsec!

شرکت تست API، APIsec، تأیید کرده است که یک پایگاه داده داخلی در معرض دید قرار گرفته که حاوی اطلاعات مشتریان بوده و به مدت چند روز بدون پسورد به اینترنت متصل بوده است. این رویداد می‌تواند به خطرات امنیتی جدی برای داده‌های مشتریان منجر شود.

پایگاه داده افشا شده APIsec شامل سوابقی از سال 2018 می‌باشد که شامل نام‌ها و آدرس‌های ایمیل کارکنان و کاربران مشتریانش، همچنین جزئیاتی در مورد وضعیت امنیتی مشتریان شرکتی APIsec است.

• این داده‌ها عمدتاً به‌وسیله APIsec تولید شده‌اند زیرا این شرکت APIهای مشتریان خود را برای ضعف‌های امنیتی زیر نظر دارد.
• شرکت تحقیقاتی امنیتی UpGuard، این پایگاه داده را در تاریخ 5 مارس پیدا کرد و همان روز به APIsec اطلاع داد.
• APIsec بلافاصله پس از دریافت این اطلاع‌رسانی، پایگاه داده را ایمن‌سازی کرد.

APIsec که ادعا می‌کند با شرکت‌های بزرگ Fortune 500 همکاری داشته است، خود را به‌عنوان شرکتی معرفی می‌کند که APIها را برای مشتریان مختلف آزمایش می‌کند. APIها به دو یا چند سیستم در اینترنت اجازه می‌دهند که با یکدیگر ارتباط برقرار کنند، مانند سیستم‌های پشتیبان یک شرکت با کاربران دسترسی به اپلیکیشن و وب‌سایت آن. APIهای ناایمن می‌توانند مورد سوءاستفاده قرار گیرند تا اطلاعات حساس از سیستم‌های یک شرکت استخراج شود.

در گزارشی که حالا منتشر شده و قبل از انتشار آن با TechCrunch به اشتراک گذاشته شده، UpGuard اعلام کرد که داده‌های افشا شده شامل اطلاعاتی در مورد سطوح حمله مشتریان APIsec است، مانند جزئیاتی درباره اینکه آیا احراز هویت چندعاملی بر روی حساب مشتری فعال شده است یا خیر. UpGuard گفت که این اطلاعات می‌تواند به عنوان اطلاعات فنی مفید برای یک تهدیدکننده بدخواه عمل کند.

زمانی که TechCrunch با APIsec تماس گرفت، فائز لاهانی، بنیان‌گذار این شرکت، ابتدا نقص امنیتی را کم اهمیت دانست و گفت که پایگاه داده حاوی “داده‌های آزمایشی” است که APIsec برای آزمایش و اشکال‌زدایی محصول خود استفاده می‌کند. لاهانی اضافه کرد که پایگاه داده “پایگاه داده تولیدی ما نیست” و “هیچ داده مشتری در پایگاه داده وجود ندارد.” وی تأیید کرد که این افشای اطلاعات به دلیل “خطای انسانی” بوده و نه یک حادثه مخرب.

لاهانی گفت: “ما به سرعت دسترسی عمومی را بستیم. داده‌های موجود در پایگاه داده قابل استفاده نیستند.”

اما UpGuard گفت که شواهدی از اطلاعات موجود در پایگاه داده که به مشتریان واقعی APIsec مربوط می‌شود، پیدا کرده است، از جمله نتایج اسکن‌های انجام شده از نقاط پایانی API مشتریانش برای مشکلات امنیتی.

این داده‌ها همچنین شامل برخی از اطلاعات شخصی کارکنان و کاربران مشتریانش، از جمله نام‌ها و آدرس‌های ایمیل بود، به گفته UpGuard.

لاهانی زمانی که TechCrunch شواهدی از داده‌های افشاشده مشتریان را به شرکت ارائه داد، عقب‌نشینی کرد. در یک ایمیل بعدی، بنیان‌گذار گفت که شرکت تحقیقات را در روز گزارش UpGuard تکمیل کرده و “این هفته دوباره تحقیقات را انجام داده است.”

لاهانی گفت که شرکت به مشتریانی که اطلاعات شخصی آن‌ها در پایگاه داده عمومی موجود بود، اطلاع‌رسانی کرده است. اما او در پاسخ به TechCrunch، از ارائه کپی از اطلاعیه نقض داده‌ها که allegedly به مشتریان ارسال شده بود، خودداری کرد.

لاهانی در پاسخ به اینکه آیا شرکت قصد دارد به وکلای عمومی ایالت‌ها طبق قوانین اطلاع‌رسانی نقض داده‌ها اطلاع دهد، بیشتر توضیح نداد.

UpGuard همچنین مجموعه‌ای از کلیدهای خصوصی AWS و اطلاعات احراز هویت برای یک حساب Slack و حساب GitHub در داده‌ها پیدا کرد، اما محققان نتوانستند تعیین کنند که آیا این اطلاعات فعال هستند یا خیر، زیرا استفاده از این اطلاعات بدون اجازه غیرقانونی خواهد بود. APIsec گفت که این کلیدها متعلق به یک کارمند سابق است که دو سال پیش از شرکت خارج شده و در هنگام خروج آن‌ها غیر فعال شده بودند. هنوز مشخص نیست که چرا کلیدهای AWS در پایگاه داده باقی مانده‌اند.