Imperva ชี้แจงเหตุ Security Breach สาเหตุเพราะ API Key ที่ถูกขโมย

Imperva ได้ออกเอกสารชี้แจงที่บริษัทได้เปิดเผยเหตุการณ์ Security Breach เมื่อเดือนสิงหาคมที่ผ่านมา โดยหลังจากสืบสวนหาสาเหตุพบว่าเกิดจาก API Key ถูกขโมยไปเนื่องจากเปิดระบบภายในบน AWS ให้เข้าถึงได้จากอินเทอร์เน็ต

เหตุการณ์คือเมื่อเดือนสิงหาคมที่ผ่านทาง Imperva ได้ออกมาเปิดเผยว่าพบเหตุการณ์ Security Breach โดยได้ข้อมูลจาก Third-party ซึ่งกระทบกับข้อมูลของลูกค้า Cloud WAF ที่ลงทะเบียนใช้งานกับ Imperva ถึงวันที่ 15 กันยายน 2017 โดยข้อมูลประกอบด้วย อีเมล Hash และ Salt ของรหัสผ่าน

ไอเดียคือเมื่อปี 2017 ทาง Imperva ได้ขยายฐาน Infrastructure ด้วยการใช้ AWS Cloud จึงได้ตัดสินใจใช้ AWS RDS (Relational Database Service) เพื่อขยายฐานข้อมูลลูกค้า ประกอบกับได้อัปโหลด Snapshot ฐานข้อมูลของลูกค้าไปทดสอบกับ AWS RDS อย่างไรก็ตามด้วยความผิดพลาดบริษัทได้เปิดระบบภายในให้เข้าถึงได้จากอินเทอร์เน็ตซึ่งมีสำเนาข้อมูล AWS API Key อยู่ด้วย และในที่สุดคนร้ายก็พบและขโมยออกไปได้ จากนั้นจึงได้ใช้ API Key เข้าถึง Cloud Infrastructure ของ Imperva ในส่วนทดสอบนั้นได้ในเวลาต่อมา

ในปี 2018 บริษัทพบว่าคนร้ายได้มีการดาวน์โหลดสำเนาของ Snapshot ข้างต้นที่อยู่บน AWS ซึ่ง Chris Hylen, CEO ของบริษัทได้เปิดเผยในเดือนสิงหาคม 2019 ว่าบริษัทได้รับการติดต่อจาก Third-party และได้รับข้อมูลที่ถูกขโมยไปพร้อมกับเรียกร้อง Bug Bounty ซึ่งไม่ได้เปิดเผยว่าเป็นแฮ็กเกอร์หรือเป็นนักวิจัยด้านความมั่นคงปลอดภัย และนั่นคือเหตุการณ์โดยภาพรวมที่เกิดขึ้นกับ Imperva นั่นเอง (จากข่าวกล่าวว่าบริษัทไม่ได้ชี้ชัดถึง Timeline ของเหตุการณ์อย่างชัดเจน)

ปัจจุบัน Imperva ได้แจ้งเตือนต่อลูกค้าและมีการเปลี่ยนรหัสผ่านแล้วกว่า 13,000 รหัส รวมถึงเปลี่ยน SSL Certificates ไปกว่า 13,500 และสร้าง API Key ใหม่ถึง 1,400 ตัว แต่บริษัทก็ชี้ว่าได้ย้ายระบบภายในไปไว้หลัง VPN เรียบร้อยแล้วตามมาตรการรักษาความปลอดภัยไม่ใช่เพราะว่าวัวหายล้อมคอก

ที่มา :  https://www.zdnet.com/article/imperva-blames-data-breach-on-stolen-aws-api-key/