API 测试公司 APIsec 在安全漏洞期间泄露了客户数据

快速阅读: 据《TechCrunch 技术紧缩》称，API测试公司APIsec的内部数据库曾因无密码保护而暴露数天，包含客户数据。该公司随后修复了数据库并切断了公共访问。数据库中发现客户员工和用户个人信息，APIsec最初否认含客户数据，但后来承认并通知相关客户。此外，数据库中还存有失效的AWS私钥等凭证。

API测试公司APIsec确认，其暴露在外且包含客户数据的内部数据库已经成功修复。该数据库曾数天未设密码即可连接互联网。暴露在外的APIsec数据库保存了自2018年以来的记录，其中包括客户员工和用户的姓名及电子邮件地址等信息，以及APIsec企业客户的网络安全状况详情。

根据发现此数据库的安全研究公司UpGuard称，大部分数据由APIsec生成，该公司主要负责监控其客户的API以检测安全漏洞。UpGuard于3月5日发现泄露的数据，并在同日告知APIsec。APIsec随后迅速切断了对数据库的公共访问。

APIsec自称是一家为各类企业提供API测试服务的企业。API允许互联网上的两个或多个事物互相通信，例如公司的后端系统与用户访问其应用程序和网站。不安全的API可能被利用来从公司系统中窃取敏感数据。

在一份现已发布的报告中，UpGuard与TechCrunch共享了该报告，其中提到暴露的数据包括有关APIsec客户攻击面的信息，比如客户账户是否启用了多因素身份验证的详细情况。UpGuard表示，这些信息可以为恶意对手提供有价值的技术情报。

当TechCrunch联系APIsec创始人Faizel Lakhani谈及此事时，他轻描淡写地对待这一安全漏洞，称数据库中包含的是APIsec用于测试和调试其产品的“测试数据”。Lakhani补充道，该数据库“并非我们的生产数据库”，并且“数据库中没有客户数据”。

然而，Lakhani证实，此次暴露源于“人为错误”，而非恶意事件。“我们很快关闭了公共访问权限。数据库中的数据无法使用。”Lakhani说道。但UpGuard表示，他们在数据库中发现了与APIsec实际企业客户相关的证据，包括其客户API端点扫描结果，用以检测安全问题。UpGuard还指出，数据中还包括部分客户员工和用户的个人信息，如姓名和电子邮件地址等。

当TechCrunch向该公司展示泄露的客户数据时，Lakhani收回了之前的言论。在一封后续邮件中，创始人表示公司在UpGuard报告发布当天完成了初步调查，并在“本周重新进行了调查”。Lakhani表示，该公司随后通知了数据库中可公开访问的个人数据所属的客户。Lakhani拒绝向TechCrunch提供公司声称发送给客户的违规通知副本。当被问及公司是否计划按照数据泄露通知法律的要求通知各州总检察长时，Lakhani拒绝进一步评论。

此外，UpGuard还在数据集中发现了一组AWS私钥以及Slack账户和GitHub账户的凭证，但研究人员无法确定这些凭证是否仍然有效，因为未经授权使用这些凭证将是违法的。APIsec表示，这些密钥属于两年前离职的前员工，并在其离职时被禁用。然而，AWS密钥为何仍留在数据库中？

润色后的文本如下：

API测试公司APIsec宣布，其先前暴露在外并包含客户数据的内部数据库已成功修复。该数据库曾在数天内无需密码即可连接互联网。暴露的APIsec数据库保存了自2018年以来的记录，其中包括客户员工和用户的姓名及电子邮件地址等信息，以及APIsec企业客户的网络安全状况细节。

在一份现已发布的报告中，UpGuard与TechCrunch共享了该报告，其中提到暴露的数据包括有关APIsec客户攻击面的信息，如客户账户是否启用了多因素身份验证的详细情况。UpGuard表示，这些信息可以为恶意对手提供有价值的技术情报。

(以上内容均由Ai生成)