黑客通过AWS API密钥窃取到Imperva数据

iso60001  1864天前

222.jpg

最近,Imperva分享了它最近遭受的数据泄露事件的细节,以及黑客是如何获取云WAF的客户数据的。

今年8月,网络安全公司Imperva披露了一起数据泄露事件,其云WAF产品的一些客户数据遭到外泄(包括知名CDN厂商Incapsula)。

Imperva首席执行官Chris Hylen透露,公司是在2019年8月20日得知此事件,当时他们了解到旗下的云WAF产品受到影响。

Hylen对外表示:“我们可以确定的是,数据泄露事件仅仅影响我们的云WAF产品。”

  • 在2019年8月20日,我们从第三方了解到,我们的云WAF产品的一部分客户的信息(2017年9月15日之前的客户)遭到泄露。

  • 客户Incapsula的数据受到影响,其电子邮件地址和哈希处理后的密码遭到泄露

被泄露的数据包括所有在2017年9月15日前注册的云WAF帐户的电子邮件地址和经过哈希处理后的密码。

Hylen补充到,截至2017年9月15日的Incapsula客户的一部分API密钥和SSL证书被泄露。

在Imperva发布的一篇博客文章中,该公司证实,有人向他们索要了漏洞赏金,并将此事告知了他们。该公司强调,这些数据并不是在利用其系统的漏洞的情况下被窃取的。

经过后续分析,攻击者是在去年10月份窃取了数据。

Imperva发布的报告中写道:“我们经过调查发现,2018年10月,我们一个AWS生产账户在未经授权的情况下使用了一个管理API密钥,导致数据库快照被曝光,其中包含电子邮件和经过哈希处理的密码。”

“我们可以确定泄露的客户数据仅限于2017年9月15日之前注册的云WAF帐户。我们其他产品的数据库和快照没有被窃取。”

该公司宣布已经采取了额外的安全措施来保护其数据安全,包括在VPN后创建新的实例、使用监控和补丁程序、停用未使用和非关键的计算实例。

Imperva解释说,该事件与从2017年开始的将基础设施迁移到AWS云上的过程有关。

当时,开发团队为测试和评估迁移流程创建了一个数据库快照。而他们创建的一个内部计算实例公开在网络上,其中包含一个AWS API密钥。随后该实例遭到入侵,黑客窃取了AWS API密钥,并使用它访问了快照。

针对这一事件,Imperva更换了13000个密码,更换了13500多个SSL证书,重新生成了大约1400个API密钥。好消息是,该公司尚未发现与此次黑客攻击相关的客户账户异常。

目前该公司仍在调查该事件,它建议所有客户采取以下措施保证安全:

1.更改云WAF的用户帐户密码(https://my.incapsula.com)

2.使用单点登录(SSO)

3.使双因素验证登录

4.生成并上传新的SSL证书

5.重置API密钥

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/92484/data-breach/imperva-data-breach-2.html

最新评论

昵称
邮箱
提交评论