Black Hat Asia 2021

Imperva ชี้แจงเหตุ Security Breach สาเหตุเพราะ API Key ที่ถูกขโมย

Imperva ได้ออกเอกสารชี้แจงที่บริษัทได้เปิดเผยเหตุการณ์ Security Breach เมื่อเดือนสิงหาคมที่ผ่านมา โดยหลังจากสืบสวนหาสาเหตุพบว่าเกิดจาก API Key ถูกขโมยไปเนื่องจากเปิดระบบภายในบน AWS ให้เข้าถึงได้จากอินเทอร์เน็ต

Credit: wk1003mike/ShutterStock

เหตุการณ์คือเมื่อเดือนสิงหาคมที่ผ่านทาง Imperva ได้ออกมาเปิดเผยว่าพบเหตุการณ์ Security Breach โดยได้ข้อมูลจาก Third-party ซึ่งกระทบกับข้อมูลของลูกค้า Cloud WAF ที่ลงทะเบียนใช้งานกับ Imperva ถึงวันที่ 15 กันยายน 2017 โดยข้อมูลประกอบด้วย อีเมล Hash และ Salt ของรหัสผ่าน

ไอเดียคือเมื่อปี 2017 ทาง Imperva ได้ขยายฐาน Infrastructure ด้วยการใช้ AWS Cloud จึงได้ตัดสินใจใช้ AWS RDS (Relational Database Service) เพื่อขยายฐานข้อมูลลูกค้า ประกอบกับได้อัปโหลด Snapshot ฐานข้อมูลของลูกค้าไปทดสอบกับ AWS RDS อย่างไรก็ตามด้วยความผิดพลาดบริษัทได้เปิดระบบภายในให้เข้าถึงได้จากอินเทอร์เน็ตซึ่งมีสำเนาข้อมูล AWS API Key อยู่ด้วย และในที่สุดคนร้ายก็พบและขโมยออกไปได้ จากนั้นจึงได้ใช้ API Key เข้าถึง Cloud Infrastructure ของ Imperva ในส่วนทดสอบนั้นได้ในเวลาต่อมา

ในปี 2018 บริษัทพบว่าคนร้ายได้มีการดาวน์โหลดสำเนาของ Snapshot ข้างต้นที่อยู่บน AWS ซึ่ง Chris Hylen, CEO ของบริษัทได้เปิดเผยในเดือนสิงหาคม 2019 ว่าบริษัทได้รับการติดต่อจาก Third-party และได้รับข้อมูลที่ถูกขโมยไปพร้อมกับเรียกร้อง Bug Bounty ซึ่งไม่ได้เปิดเผยว่าเป็นแฮ็กเกอร์หรือเป็นนักวิจัยด้านความมั่นคงปลอดภัย และนั่นคือเหตุการณ์โดยภาพรวมที่เกิดขึ้นกับ Imperva นั่นเอง (จากข่าวกล่าวว่าบริษัทไม่ได้ชี้ชัดถึง Timeline ของเหตุการณ์อย่างชัดเจน)

ปัจจุบัน Imperva ได้แจ้งเตือนต่อลูกค้าและมีการเปลี่ยนรหัสผ่านแล้วกว่า 13,000 รหัส รวมถึงเปลี่ยน SSL Certificates ไปกว่า 13,500 และสร้าง API Key ใหม่ถึง 1,400 ตัว แต่บริษัทก็ชี้ว่าได้ย้ายระบบภายในไปไว้หลัง VPN เรียบร้อยแล้วตามมาตรการรักษาความปลอดภัยไม่ใช่เพราะว่าวัวหายล้อมคอก

ที่มา :  https://www.zdnet.com/article/imperva-blames-data-breach-on-stolen-aws-api-key/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

HP เปิดตัว EliteOne 800 G8 All-in-One PC

HP ประกาศเปิดตัว EliteOne 800 G8 All-in-One PC และ EliteDesk 800 G8 PC

[BHAsia 2021] 6 บทเรียนจากข้อมูลที่รั่วกว่า 11,000 ล้านรายการบน Have I Been Pwned

ภายในงานสัมมนา Black Hat Asia 2021 ที่กำลังจัดอยู่ในขณะนี้ Troy Hunt ผู้ก่อตั้งเว็บ Have I Been Pwned ได้มาบรรยายในเซสชัน Keynote …