Thought Leadership
Die auf API-Sicherheit spezialisierte Firma APIsec.ai hat unbeabsichtigt eine umfangreiche Sammlung hochsensibler Daten öffentlich zugänglich gemacht. Sicherheitsforscher entdeckten eine ungeschützte Elasticsearch-Datenbank mit mehr als drei Terabyte an Informationen.
APIsec wirbt damit, 80 Prozent der Fortune-100-Unternehmen zu seinen Kunden zu zählen. Das Sicherheitsteam von UpGuard stieß nun bei einer Routineprüfung auf die exponierte Datenbank. Nach der Entdeckung informierte UpGuard umgehend das betroffene Unternehmen, woraufhin die Schwachstelle noch am selben Tag behoben wurde.
Millionen von Datensätzen betroffen
Unter den offengelegten Daten befanden sich detaillierte Informationen über API-Sicherheitstests und deren Ergebnisse. Der größte Datenindex umfasste nahezu 100 Millionen Einträge und beanspruchte allein etwa zwei Terabyte Speicherplatz. Die Protokolle reichten mehrere Jahre zurück und enthielten Anfrage- und Antwortdaten von Kundenschnittstellen.
Gefährliche Zugangsdaten
Zu den exponierten Daten zählten auch Zugangsdaten verschiedener Systeme, darunter AWS-Schlüssel, GitHub- und Slack-Anmeldeinformationen sowie Konfigurationsdaten für tausende Scan-Cluster. Viele dieser Cluster nutzten offenbar denselben AWS-Schlüssel, was bei einem Missbrauch weitreichende Folgen haben könnte.
Bei den Kundendaten waren unter anderem Rechnungsinformationen, E-Mail-Adressen, Firmennamen und Lizenzdetails betroffen. Diese Informationen könnten von potenziellen Angreifern sowohl für technische Angriffe als auch für Social-Engineering-Methoden genutzt werden.
Ironische Wendung
Der Fall zeigt eine Ironie der IT-Sicherheitsbranche: Ein Unternehmen, das anderen Firmen bei der Absicherung ihrer APIs helfen soll, wurde selbst Opfer einer grundlegenden Sicherheitslücke. Während APIsec.ai seinen Kunden Schutz vor den OWASP API Security Top 10 verspricht, fiel das Unternehmen selbst einer klassischen Fehlkonfiguration zum Opfer.
