Firma ujian API APIsec telah mengesahkan bahawa mereka telah mengamankan pangkalan data dalaman yang terdedah yang mengandungi data pelanggan, yang tersambung ke internet tanpa kata laluan selama beberapa hari.
Pangkalan data APIsec yang terdedah menyimpan rekod yang bermula dari tahun 2018, termasuk nama dan alamat e-mel pekerja dan pengguna pelanggan mereka, serta butiran tentang postur keselamatan pelanggan korporat APIsec.
Kebanyakan data dihasilkan oleh APIsec semasa memantau API pelanggan mereka untuk kelemahan keselamatan, mengikut UpGuard, firma penyelidikan keselamatan yang menemui pangkalan data tersebut.
UpGuard menemui data yang bocor pada 5 Mac dan memberitahu APIsec pada hari yang sama. APIsec mengamankan pangkalan data tidak lama selepas itu.
Saat dihubungi oleh TechCrunch, pengasas APIsec, Faizel Lakhani pada mulanya mengurangkan keperluan keselamatan, mengatakan bahawa pangkalan data itu mengandungi "data ujian" yang digunakan oleh APIsec untuk menguji dan membetulkan produk mereka. Lakhani menambah bahawa pangkalan data itu "bukan pangkalan data pengeluaran kami" dan "tiada data pelanggan dalam pangkalan data tersebut."
Namun, UpGuard mengatakan bahawa mereka menemui bukti maklumat dalam pangkalan data yang berkaitan dengan pelanggan korporat sebenar APIsec, termasuk hasil pemeriksaan dari titik akhir API pelanggan untuk isu keselamatan.
Lakhani mengubah fikiran ketika TechCrunch memberikan bukti data pelanggan yang bocor. Dalam e-mel kemudian, pengasas itu berkata syarikat telah melakukan siasatan pada hari laporan UpGuard dan "kembali dan mengulangi siasatan ini minggu ini."
Lakhani enggan mengeluarkan lebih kenyataan apabila ditanya sama ada syarikat merancang untuk memberitahu peguam negeri seperti yang diperlukan oleh undang-undang pemberitahuan pelanggaran data.
UpGuard juga menemui satu set kunci peribadi untuk AWS dan kelayakan untuk akaun Slack dan akaun GitHub dalam dataset tersebut, tetapi para penyelidik tidak dapat menentukan sama ada kelayakan itu aktif, kerana mengguna kelayakan tanpa kebenaran adalah melanggar undang-undang.
