API 测试公司 APIsec 在安全漏洞期间泄露了客户数据

发布时间:2025年4月1日    来源:szf
API 测试公司 APIsec 在安全漏洞期间泄露了客户数据

快速阅读: 据《TechCrunch 技术紧缩》称,API测试公司APIsec的内部数据库曾因无密码保护而暴露数天,包含客户数据。该公司随后修复了数据库并切断了公共访问。数据库中发现客户员工和用户个人信息,APIsec最初否认含客户数据,但后来承认并通知相关客户。此外,数据库中还存有失效的AWS私钥等凭证。

API测试公司APIsec确认,其暴露在外且包含客户数据的内部数据库已经成功修复。该数据库曾数天未设密码即可连接互联网。暴露在外的APIsec数据库保存了自2018年以来的记录,其中包括客户员工和用户的姓名及电子邮件地址等信息,以及APIsec企业客户的网络安全状况详情。

根据发现此数据库的安全研究公司UpGuard称,大部分数据由APIsec生成,该公司主要负责监控其客户的API以检测安全漏洞。UpGuard于3月5日发现泄露的数据,并在同日告知APIsec。APIsec随后迅速切断了对数据库的公共访问。

APIsec自称是一家为各类企业提供API测试服务的企业。API允许互联网上的两个或多个事物互相通信,例如公司的后端系统与用户访问其应用程序和网站。不安全的API可能被利用来从公司系统中窃取敏感数据。

在一份现已发布的报告中,UpGuard与TechCrunch共享了该报告,其中提到暴露的数据包括有关APIsec客户攻击面的信息,比如客户账户是否启用了多因素身份验证的详细情况。UpGuard表示,这些信息可以为恶意对手提供有价值的技术情报。

当TechCrunch联系APIsec创始人Faizel Lakhani谈及此事时,他轻描淡写地对待这一安全漏洞,称数据库中包含的是APIsec用于测试和调试其产品的“测试数据”。Lakhani补充道,该数据库“并非我们的生产数据库”,并且“数据库中没有客户数据”。

然而,Lakhani证实,此次暴露源于“人为错误”,而非恶意事件。“我们很快关闭了公共访问权限。数据库中的数据无法使用。”Lakhani说道。但UpGuard表示,他们在数据库中发现了与APIsec实际企业客户相关的证据,包括其客户API端点扫描结果,用以检测安全问题。UpGuard还指出,数据中还包括部分客户员工和用户的个人信息,如姓名和电子邮件地址等。

当TechCrunch向该公司展示泄露的客户数据时,Lakhani收回了之前的言论。在一封后续邮件中,创始人表示公司在UpGuard报告发布当天完成了初步调查,并在“本周重新进行了调查”。Lakhani表示,该公司随后通知了数据库中可公开访问的个人数据所属的客户。Lakhani拒绝向TechCrunch提供公司声称发送给客户的违规通知副本。当被问及公司是否计划按照数据泄露通知法律的要求通知各州总检察长时,Lakhani拒绝进一步评论。

此外,UpGuard还在数据集中发现了一组AWS私钥以及Slack账户和GitHub账户的凭证,但研究人员无法确定这些凭证是否仍然有效,因为未经授权使用这些凭证将是违法的。APIsec表示,这些密钥属于两年前离职的前员工,并在其离职时被禁用。然而,AWS密钥为何仍留在数据库中?

润色后的文本如下:

API测试公司APIsec宣布,其先前暴露在外并包含客户数据的内部数据库已成功修复。该数据库曾在数天内无需密码即可连接互联网。暴露的APIsec数据库保存了自2018年以来的记录,其中包括客户员工和用户的姓名及电子邮件地址等信息,以及APIsec企业客户的网络安全状况细节。

根据发现此数据库的安全研究公司UpGuard称,大部分数据由APIsec生成,该公司主要负责监控其客户的API以检测安全漏洞。UpGuard于3月5日发现泄露的数据,并在同日告知APIsec。APIsec随后迅速切断了对数据库的公共访问。

APIsec自称是一家为各类企业提供API测试服务的企业。API允许互联网上的两个或多个事物互相通信,例如公司的后端系统与用户访问其应用程序和网站。不安全的API可能被利用来从公司系统中窃取敏感数据。

在一份现已发布的报告中,UpGuard与TechCrunch共享了该报告,其中提到暴露的数据包括有关APIsec客户攻击面的信息,如客户账户是否启用了多因素身份验证的详细情况。UpGuard表示,这些信息可以为恶意对手提供有价值的技术情报。

当TechCrunch联系APIsec创始人Faizel Lakhani谈及此事时,他轻描淡写地对待这一安全漏洞,称数据库中包含的是APIsec用于测试和调试其产品的“测试数据”。Lakhani补充道,该数据库“并非我们的生产数据库”,并且“数据库中没有客户数据”。

然而,Lakhani证实,此次暴露源于“人为错误”,而非恶意事件。“我们很快关闭了公共访问权限。数据库中的数据无法使用。”Lakhani说道。但UpGuard表示,他们在数据库中发现了与APIsec实际企业客户相关的证据,包括其客户API端点扫描结果,用以检测安全问题。UpGuard还指出,数据中还包括部分客户员工和用户的个人信息,如姓名和电子邮件地址等。

当TechCrunch向该公司展示泄露的客户数据时,Lakhani收回了之前的言论。在一封后续邮件中,创始人表示公司在UpGuard报告发布当天完成了初步调查,并在“本周重新进行了调查”。Lakhani表示,该公司随后通知了数据库中可公开访问的个人数据所属的客户。Lakhani拒绝向TechCrunch提供公司声称发送给客户的违规通知副本。当被问及公司是否计划按照数据泄露通知法律的要求通知各州总检察长时,Lakhani拒绝进一步评论。

此外,UpGuard还在数据集中发现了一组AWS私钥以及Slack账户和GitHub账户的凭证,但研究人员无法确定这些凭证是否仍然有效,因为未经授权使用这些凭证将是违法的。APIsec表示,这些密钥属于两年前离职的前员工,并在其离职时被禁用。然而,AWS密钥为何仍留在数据库中?

(以上内容均由Ai生成)

你可能还想读

本周科技大事件:谷歌发布Pixel 10,Gamescom揭晓重磅游戏

本周科技大事件:谷歌发布Pixel 10,Gamescom揭晓重磅游戏

快速阅读: 谷歌推出Pixel 10手机及Pixel Watch 4,新增卫星紧急通讯、可更换电池和屏幕、抬手通话等功能,屏幕亮度达3000尼特,还将与斯蒂芬·库里合作推出AI健康和健身教练服务。 谷歌本周在“由谷歌制造”活动中推出了Pix […]

发布时间:2025年8月23日
SK海力士凭借HBM激增首次超越三星,领跑全球内存市场

SK海力士凭借HBM激增首次超越三星,领跑全球内存市场

快速阅读: 据《《韩国先驱报》》称,7月20日,SK海力士首登全球内存芯片市场榜首,受益于AI产品和HBM芯片领先地位。其季度利润达9.2万亿韩元,远超三星。 据韩联社报道,7月20日,韩国京畿道伊川,SK海力士首次登上全球内存芯片市场榜首 […]

发布时间:2025年8月1日
STAN 从谷歌、万代南梦宫和其他公司筹集了 850 万美元

STAN 从谷歌、万代南梦宫和其他公司筹集了 850 万美元

快速阅读: 据《印度教业务线》称,STAN获850万美元融资,由万代南梦宫等机构投资。计划拓展印度市场,加强AI功能与创作者工具。平台用户超2500万,专注移动端社交游戏。 记者获悉,8月1日,社交游戏平台STAN宣布完成850万美元的新一 […]

发布时间:2025年8月1日
“这改变了一切”:谷歌的人工智能模式迫使品牌重新考虑搜索策略

“这改变了一切”:谷歌的人工智能模式迫使品牌重新考虑搜索策略

快速阅读: 据《营销周》称,谷歌推出AI搜索模式,减少外部链接,提升对话式回答。品牌需调整策略,重视内容质量与品牌权威。此变化影响营销方式,竞争加剧。 据谷歌官方消息,7月29日,谷歌在英国推出了基于人工智能的搜索功能AI模式,此前该功能已 […]

发布时间:2025年8月1日
在 Android 上用更智能的应用程序替换 Google Assistant

在 Android 上用更智能的应用程序替换 Google Assistant

快速阅读: 据《电话竞技场》称,据报道,用户可从Google Play下载Meta AI应用,安装后需检查版本是否为230.0.0.36.164或更高。操作方法:进入设置,选择应用,查看Meta AI信息页底部的版本号。 据媒体报道,用户现 […]

发布时间:2025年8月1日
Xero 的英国董事总经理回击人工智能正在抢走会计工作的说法

Xero 的英国董事总经理回击人工智能正在抢走会计工作的说法

快速阅读: 据《UKTN(英国科技新闻)》称,英国科技媒体UKTN报道,Xero英国总经理凯特·海沃德表示,会计行业无需过度担忧AI自动化。尽管四大事务所裁员,但Xero仍持续投资AI技术,提升效率与服务质量。 据英国科技新闻网站UKTN报 […]

发布时间:2025年8月1日
Reddit 计划在搜索引擎市场大力推动人工智能与谷歌竞争:报告

Reddit 计划在搜索引擎市场大力推动人工智能与谷歌竞争:报告

快速阅读: 据《商业标准》称,Reddit CEO表示,公司正将平台转型为搜索引擎,整合AI功能,提升用户体验。Reddit Answers用户已超600万,计划全球推广。 据《The Verge》报道,7月11日,Reddit首席执行官史 […]

发布时间:2025年8月1日
Meta 超出预期,为“个人超级智能”做准备

Meta 超出预期,为“个人超级智能”做准备

快速阅读: 据《RCR无线》称,Meta二季度营收475.2亿美元,净利润183亿美元。CEO扎克伯格称将打造个人超级智能,但数据中心扩容遇挑战。公司计划2025年支出达1140-1180亿美元。 据媒体报道,7月25日,美国加州,社交媒体 […]

发布时间:2025年8月1日