Imperva-Kundendaten wegen Fehlern beim Gang in die Cloud geleakt

14. Oktober 2019, 11:30
  • security
  • cloud
  • cyberangriff
  • aws
image

Der bedeutende Web-Application-Firewall-Anbieter Imperva hat weitere Erkenntnisse publiziert, die das Unternehmen nach einem "Security-Incident" gewonnen hat.

Der bedeutende Web-Application-Firewall-Anbieter Imperva hat weitere Erkenntnisse publiziert, die das Unternehmen nach einem "Security-Incident" gewonnen hat.
Beim Ende August bekannt gewordenen Vorfall handelt es sich um einen Datenabfluss rund um die Cloud-WAF, früher bekannt als "Incapsula".
Das Wichtigste: Ein kompromittierter administrativer API-Schlüssel in einem produktiven AWS-Account erlaubte Hackern den Zugriff auf Imperva-Kundendaten.
Bei den abgeflossenen Daten handelt es sich um E-Mail-Adressen von Kunden, Hashed und Salted Passwörter, API-Schlüssel sowie TLS-Schlüssel, heisst es im Blogpost. Als Konsequenz erhielten Imperva-Kunden diverse Empfehlungen: 13'000 Passwörter sollen geändert werden, über 13'500 SSL-Zertifikate gewechselt und über 1400 API-Schlüssel neu erstellt werden.
Was oder wer war schuld am "Vorfall": Der Abfluss von Kundendaten "war das Ergebnis unserer Entscheidungen, Massnahmen, die wir vor, während und nach der Migration unserer Datenbanken getroffen haben oder nicht ergriffen haben", hält Imperva fest. In anderen Worten resultierte die Datenexfiltration nicht aus einer Schwachstelle im Cloud WAF-Produkt oder einer Schwachstelle in einem anderen Produkt.
Das Grundübel sei im Jahr 2017 zu suchen und im Onboarding von viele neuen Kunden und dem gleichzeitigen Gang in die Cloud, schreibt die Firma. "Einige wichtige Entscheidungen, die während des AWS-Evaluierungsprozesses getroffen wurden, ermöglichten es, Informationen aus einem Datenbank-Snapshot zu extrahieren." Es war also eine Kombination aus mehreren Fehlern. Zum einen erstellte Imperva einen Datenbank-Snapshot zum Testen; des Weiteren war eine interne Compute-Instanz falsch konfiguriert und öffentlich zugänglich, so der Imperva-Report. Diese Recheninstanz wiederum enthielt den AWS-API-Schlüssel, den die Hacker dann im Oktober 2018 ausnutzen konnten, um auf den Snapshot zuzugreifen Da diese auf die Kundendatenbank als Snapshot zugriffen, erlangten sie begrenzt aktuelle Daten, nämlich Incapsula-Datensätze, die bis und mit dem 15. September 2017 erstellt worden waren.
Im Oktober 2018 seien diese Kundendaten dann abgesaugt worden.
Aufgefallen ist der Datenabfluss nicht etwa Imperva selbst, sondern Dritten, welche auf den WAF-Anbieter zukamen, um eine Bug Bounty einzukassieren.
Passieren könne dasselbe nicht mehr, heisst es nun beim Unternehmen. Man würde neuerdings standardmässig neue Instanzen hinter dem eigenen VPN erstellen und zweitens habe man nun Überwachungs- und Patchprogramme im Einsatz und nach dem Datenabfluss habe Imperva Prozesse für die "Stillegung" überflüssiger und unkritischer Compute-Instanzen installiert.
Ausgenutzt worden seien die Daten nicht: "Bisher haben wir kein bösartiges Verhalten gefunden, das auf unsere Kunden abzielt (Anmeldungen, Regeländerungen usw.), und wir haben Verfahren implementiert, um derartige Aktivitäten zu überwachen."
Welche Imperva-Kunden betroffen waren, ist nicht bekannt, aber der WAF-Anbieter hat auch Kunden in der Schweiz, darunter sollen laut einem Branchenkenner auch internationale Konzerne sein. (mag)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022
image

Google will "gehärtete" Open-Source-Software vertreiben

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

publiziert am 18.5.2022
image

Microsoft versucht kartell­rechtliche Bedenken zu zerstreuen

Der US-Konzern ist erneut ins Visier der EU-Kartell­behörden geraten. Überarbeitete Lizenz­vereinbarungen sollen die EU und Cloud Service Provider beschwichtigen.

publiziert am 18.5.2022