黑客通过AWS API密钥窃取到Imperva数据

最近，Imperva分享了它最近遭受的数据泄露事件的细节，以及黑客是如何获取云WAF的客户数据的。

今年8月，网络安全公司Imperva披露了一起数据泄露事件，其云WAF产品的一些客户数据遭到外泄（包括知名CDN厂商Incapsula）。

Imperva首席执行官Chris Hylen透露，公司是在2019年8月20日得知此事件，当时他们了解到旗下的云WAF产品受到影响。

Hylen对外表示：“我们可以确定的是，数据泄露事件仅仅影响我们的云WAF产品。”

• 在2019年8月20日，我们从第三方了解到，我们的云WAF产品的一部分客户的信息（2017年9月15日之前的客户）遭到泄露。

• 客户Incapsula的数据受到影响，其电子邮件地址和哈希处理后的密码遭到泄露

被泄露的数据包括所有在2017年9月15日前注册的云WAF帐户的电子邮件地址和经过哈希处理后的密码。

Hylen补充到，截至2017年9月15日的Incapsula客户的一部分API密钥和SSL证书被泄露。

在Imperva发布的一篇博客文章中，该公司证实，有人向他们索要了漏洞赏金，并将此事告知了他们。该公司强调，这些数据并不是在利用其系统的漏洞的情况下被窃取的。

经过后续分析，攻击者是在去年10月份窃取了数据。

Imperva发布的报告中写道：“我们经过调查发现，2018年10月，我们一个AWS生产账户在未经授权的情况下使用了一个管理API密钥，导致数据库快照被曝光，其中包含电子邮件和经过哈希处理的密码。”

“我们可以确定泄露的客户数据仅限于2017年9月15日之前注册的云WAF帐户。我们其他产品的数据库和快照没有被窃取。”

该公司宣布已经采取了额外的安全措施来保护其数据安全，包括在VPN后创建新的实例、使用监控和补丁程序、停用未使用和非关键的计算实例。

Imperva解释说，该事件与从2017年开始的将基础设施迁移到AWS云上的过程有关。

当时，开发团队为测试和评估迁移流程创建了一个数据库快照。而他们创建的一个内部计算实例公开在网络上，其中包含一个AWS API密钥。随后该实例遭到入侵，黑客窃取了AWS API密钥，并使用它访问了快照。

针对这一事件，Imperva更换了13000个密码，更换了13500多个SSL证书，重新生成了大约1400个API密钥。好消息是，该公司尚未发现与此次黑客攻击相关的客户账户异常。

目前该公司仍在调查该事件，它建议所有客户采取以下措施保证安全：

1.更改云WAF的用户帐户密码(https://my.incapsula.com)

2.使用单点登录(SSO)

3.使双因素验证登录

4.生成并上传新的SSL证书

5.重置API密钥

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/92484/data-breach/imperva-data-breach-2.html