Cyberthreat.id- Imperva, vendor keamanan global, mengungkapkan, kesalahan konfigurasi instance cloud Amazon Web Services (AWS) memungkinkan peretas untuk memeras informasi tentang pelanggan yang menggunakan produk Cloud Web Application Firewall (WAF).

Sebelumnya dikenal sebagai Incapsula, Cloud WAF menganalisis permintaan yang masuk ke aplikasi, dan menandai atau memblokir aktivitas yang mencurigakan dan berbahaya.

Sebelumnya, pelanggaran data tersebut terjadi pada Agustus 2019. Tetapi, perusahaan tidak tahu bagaimana para penyerang bisa mendapatkan akses.

CTO Imperva Kunal Anand menjelaskan, bahwa pada Oktober 2018, para penyerang mencuri dan menggunakan kunci AWS API administratif di salah satu akun AWS produksi Imperva, untuk mengakses snapshot basis data yang berisi email, kata sandi hash, dan beberapa kunci API pelanggan dan kunci TLS.

"Saya akan mulai dengan kembali ke 2017 ketika Cloud WAF kami, yang sebelumnya dikenal sebagai Incapsula, berada di bawah beban signifikan dari pelanggan baru on boarding dan memenuhi tuntutan kritis mereka," tulisnya dalam posting blog, seperti dilansir dari ThreatPost, Sabtu, (12 Oktober 2019).

“Saat itu, tim pengembangan produk kami memulai proses mengadopsi teknologi cloud dan bermigrasi ke AWS Relational Database Service (RDS) untuk meningkatkan skala basis data pengguna kami,” tambah Anand.

Saat itu, lanjut Anand, Imperva membuat snapshot basis data untuk pengujian, dan juga, turunan komputasi internal salah konfigurasi dan dapat diakses publik.

Mesin penghitung itu berisi kunci AWS API yang kemudian dapat diangkat dan diakses oleh para peretas pada Oktober 2018. Karena basis data itu diakses sebagai foto, para peretas kabur dengan hanya catatan Incapsula lama yang naik hingga 15 September 2017.

“Identitas non-manusia seperti kunci API, mesin, akun layanan, dan bot telah tumbuh secara eksponensial untuk mengakomodasi tingkat otomasi yang belum pernah terjadi sebelumnya,” kata Balaji Parimi, CEO, CloudKnox Security.

“Sementara paparan email pengguna dan kata sandi hash dan salin mengenai, pengelupasan kunci API dan SSL akan memungkinkan penyerang untuk memecahkan enkripsi perusahaan dan mengakses aplikasi perusahaan secara langsung,” ujar Chris Morales, kepala Security Analytics di Vectra.

Anand mengatakan, sejauh ini, Imperva belum mendeteksi aktivitas berbahaya atau mencurigakan (login ganjil, perubahan aturan, dan sejenisnya), tetapi ia akan terus memonitornya.

Anand juga menuturkan, telah menerapkan kontrol akses keamanan yang lebih ketat, dan telah mengaudit akses snapshot dan meningkatkan frekuensi pemindaian infrastruktur.

Hal ini juga menonaktifkan instance komputasi yang tidak aktif dan menempatkan semua instance internal di belakang VPN secara default.

“Keamanan tidak pernah selesai, dan kami harus terus mengevaluasi dan meningkatkan proses kami setiap hari. Visi kami tetap sama, untuk memimpin perjuangan dunia atas nama pelanggan kami dan pelanggan mereka untuk menjaga data dan aplikasi aman dari penjahat cyber,” tegas Anand.