A APIsec, uma empresa especializada na aplicação de testes de segurança de APIs, teve dados de seus clientes e outras informações confidenciais (datadas de 2018) inadvertidamente expostas na web, por meio de um banco de dados interno mal configurado. O banco foi imediatamente protegido após sua localização por pesquisadores da empresa UpGuard, no início do mês passado.
Leia também
API se torna alvo favorito de IA
Ameaças internas são subestimadas na proteção de APIs
Além de vazar os nomes e endereços de e-mail dos funcionários e usuários de seus clientes corporativos, esse banco de dados da APIsec também continha detalhes sobre as superfícies de ataque de seus clientes, o que poderia ser esclarecedor para os agentes de ameaças, de acordo com o relatório da UpGuard. Também foram descobertas no banco de dados chaves privadas da AWS e credenciais de contas do Slack e GitHub. A APIsec confirmou que as chaves eram de propriedade de um ex-funcionário. Apesar de inicialmente minimizar as informações expostas para conter apenas dados de teste alavancados pela empresa para depuração, a APIsec reinvestigou o vazamento de dados e informou os clientes afetados. Detalhes adicionais sobre os planos da empresa de informar os procuradores-gerais estaduais ainda não foram divulgados.
