A APIsec, empresa especializada em testes de segurança para APIs, confirmou que uma base de dados interna com informações de clientes ficou exposta na internet sem senha por vários dias, mas foi posteriormente protegida.
A base de dados armazenava registros desde 2018, contendo nomes e endereços de e-mail de funcionários e usuários de empresas clientes, além de informações detalhadas sobre a postura de segurança de corporações atendidas pela APIsec. Grande parte desses dados foi gerada pela própria empresa durante o monitoramento contínuo das APIs de seus clientes em busca de vulnerabilidades, segundo a empresa de segurança UpGuard, que descobriu a exposição.
A UpGuard identificou o vazamento em 5 de março e notificou a APIsec no mesmo dia. A empresa então restringiu o acesso público à base de dados. Embora a APIsec afirme atender empresas da lista Fortune 500, seu fundador Faizel Lakhani inicialmente minimizou a falha, alegando que os dados eram de teste, utilizados apenas para depuração e que não envolviam clientes reais. Ele também afirmou que o incidente se tratou de um erro humano, e não de uma ação maliciosa.
No entanto, a UpGuard relatou que a base continha informações reais de clientes corporativos, incluindo resultados de varreduras em endpoints de APIs que identificavam falhas de segurança, além de dados pessoais como nomes e e-mails de funcionários. O conjunto de dados também incluía chaves privadas da AWS, além de credenciais para contas do Slack e GitHub. Embora os pesquisadores não tenham verificado se essas credenciais ainda estavam ativas, a APIsec disse que elas pertenciam a um ex-funcionário que saiu da empresa há dois anos e foram desativadas na ocasião.
Após receber da TechCrunch provas concretas de que dados reais haviam sido expostos, Lakhani voltou atrás e reconheceu o incidente. Ele informou que a empresa refez a investigação e notificou os clientes afetados. No entanto, se recusou a compartilhar com a TechCrunch uma cópia oficial do aviso de violação enviado aos clientes e não comentou se irá notificar as autoridades estaduais, como exige a legislação de notificação de violação de dados.
Via - TC
Comments