API测试公司APISEC在安全失误期间暴露了客户数据

API测试公司APISEC已确认它确保了一个包含客户数据的内部数据库，该数据库已连接到Internet几天，而没有密码。

暴露的APISEC数据库存储的记录可追溯到2018年，包括其客户的员工和用户的姓名和电子邮件地址，以及有关Apisec公司客户安全姿势的详细信息。

找到数据库的安全研究公司Upguard表示，APISEC的大部分数据是由APISEC生成的。

Upguard于3月5日发现了泄漏的数据，并于同一天通知Apisec。 APISEC不久后确保了数据库。

Apisec声称与《财富》 500强公司合作，将自己作为一家为其各种客户测试API的公司。 API允许互联网上的两件事或更多内容相互通信，例如公司的BACK-End系统的用户访问其应用程序和网站。可以利用不安全的API从公司系统中的虹吸敏感数据。

在发行之前与TechCrunch共享的一份已发布的报告中，Upguard说，暴露的数据包括有关ApiSec客户攻击表面的信息，例如有关是否在客户帐户上启用了多因素身份验证的详细信息。 Upguard表示，此信息可以为恶意对手提供有用的技术情报。

当TechCrunch与TechCrunch联系时，APISEC创始人Faizel Lakhani最初轻描淡写了安全失误，称该数据库包含APISEC用于测试和调试其产品的“测试数据”。 Lakhani补充说，数据库不是“我们的生产数据库”，“数据库中没有客户数据”。拉卡尼（Lakhani）证实，暴露是由于“人类错误”，而不是恶意事件。/p>

“我们迅速关闭了公共访问。数据库中的数据不可用，” Lakhani说。

但Upguard表示，它在数据库中找到了与APISEC的现实企业客户有关的信息的证据，包括从客户的API端点扫描结果的结果。

Upguard说，数据还包括一些客户的员工和用户，包括姓名和电子邮件地址。

Lakhani在TechCrunch为公司提供了泄漏客户数据的证据时回溯。该公司在后来的电子邮件中说，该公司完成了对Upguard报告当天的调查，并“本周再次重新进行调查。”

Lakhani说，该公司随后通知了其个人信息在数据库中的客户。当询问时，Lakhani不会提供TechCrunch据称该公司发送给客户的违规通知。

拉卡尼（Lakhani）拒绝进一步发表评论时，当被问及公司是否计划按数据泄露通知法的要求通知州检察长。

Upguard还找到了一组用于AWS的私钥和Slack帐户的凭据和数据集中的GitHub帐户，但是研究人员无法确定凭据是否活跃，因为未经许可使用凭据是非法的。阿皮塞克说，这些钥匙属于一名前雇员，该雇员两年前离开了公司，并在离开后被残疾。目前尚不清楚为什么将AWS键留在数据库中。