API 테스트 회사 APIsec은 인터넷에 비밀번호 없이 연결된 일부 일 동안 노출된 내부 데이터베이스를 안전하게 보호했다고 확인했습니다.
노출된 APIsec 데이터베이스에는 2018년부터 날짜가 지정된 레코드가 저장되어 있었는데, 이는 APIsec의 고객 직원 및 사용자의 이름과 이메일 주소뿐만 아니라 고객의 보안 상태에 대한 세부 정보도 포함되어 있었습니다.
이러한 데이터의 대부분은 UpGuard가 발견한 데이터베이스에 저장된 것인데, 이는 APIsec이 고객의 API를 보안 취약점을 모니터링함에 따라 생성된 것입니다.
UpGuard는 3월 5일 유출된 데이터를 발견하고 동일한 날 APIsec에 알렸습니다. APIsec는 곧이어 데이터베이스를 보호했습니다.
APIsec는 포춘 500 기업과 협력했다고 주장하며 다양한 고객을 대상으로 API를 테스트하는 회사로 자처합니다. API는 인터넷에서 둘 이상의 요소 간에 통신할 수 있게 하는 것을 의미하며, 기업의 백엔드 시스템에 접근하는 사용자와 애플리케이션 및 웹 사이트에 접근하는 사용자 사이와 같은 통신이 이루어집니다. 보안이 취약한 API는 기업 시스템에서 민감한 데이터를 빼내는 데 악용될 수 있습니다.
이제 발표되었지만 기사에 선행하여 제공된 UpGuard의 보고서에 따르면 노출된 데이터에는 APIsec의 고객에 대한 공격 표면과 관련된 정보가 포함되어 있는데, 예를 들어 특정 고객의 계정에서 다중 요소 인증이 활성화되어 있는지에 대한 세부 정보도 포함되어 있었습니다. UpGuard는 이러한 정보가 악의를 갖는 상대에게 유용한 기술적 정보를 제공할 수 있다고 말했습니다.
TechCrunch에 연락을 했을 때 APIsec 창립자인 Faizel Lakhani는 초기에 보안 결함을 경시했으며, 데이터베이스에는 APIsec이 제품을 테스트하고 디버깅하는 데 사용하는 ‘테스트 데이터’가 들어있다고 말했습니다. 라카니는 이어 “제품 데이터베이스가 아니었으며 ‘고객 데이터가 데이터베이스에 없었음’”이라고 덧붙였습니다. 라카니는 노출은 ‘인간의 실수’로 인한 것이라고 확인했습니다.
“우리는 곧 공개 액세스를 차단했습니다. 데이터베이스의 데이터는 사용할 수 없습니다.” 라카니는 말했습니다.
그러나 UpGuard는 실제로 APIsec의 기업 고객에 대한 결과물을 포함하여 데이터베이스에서 고객 데이터에 대한 증거를 발견했다고 밝혀냈습니다.
데이터에는 일부 고객의 직원 및 사용자의 개인 정보, 즉 이름과 이메일 주소도 포함되어 있습니다.
TechCrunch이 유출된 고객 데이터의 증거를 제시할 때 라카니는 입장을 변경했습니다. 후에 이메일로 회사는 UpGuard 보고서 날에 조사를 완료했으며 “이번 주에 다시 조사를 실시했다”고 말했습니다.
라카니는 회사가 공개적으로 액세스 가능한 데이터베이스에 개인 정보가 들어 있는 고객들에게 알리기로 결정했다고 밝혔습니다. 라카니는 회사가 주의지침에 따라 주 데이터 침해통보를 송부할 계획인지 묻는 질문에 답변하지 않았습니다.
UpGuard는 데이터 집합에서 AWS의 개인 키 세트와 Slack 계정 및 GitHub 계정 자격 증명을 발견했지만, 연구원들은 자격 증명이 활성화되어 있는지 확인할 수 없었습니다. APIsec는 키가 2년 전에 회사에서 떠난 이전 직원의 것이며 해당 직원이 퇴사한 후에 비활성화되었음을 밝혔습니다. AWS 키가 데이터베이스에 남아 있는 이유는 분명하지 않습니다.
