Cyberthreat.id - Pelanggaran data yang baru-baru ini memengaruhi pelanggan tertentu dari produk Cloud Web Application Firewall (WAF) Imperva dimungkinkan oleh serangkaian kesalahan langkah ketika perusahaan cybersecurity bermigrasi ke layanan basis data berbasis cloud.

Pernyataan itu disampaikan chief technology officer perusahaan itu dalam sebuah posting blog. Demikian SC Magazine menuliskan pada lamannya.

“Secara kolektif, kesalahan ini memungkinkan pihak yang tidak berwenang mencuri kunci administratif API untuk salah satu akun Amazon Web Services produksi Imperva pada Oktober 2018,” CTO Kunal Anand mengatakan dalam penjelasan terperinci.

Kunci ini memberi penyerang akses ke snapshot basis data yang berisi berbagai informasi tentang pelanggan yang telah mendaftar untuk akun hingga 15 September 2017, tetapi tidak setelahnya.

Informasi tersebut termasuk alamat email, kata sandi hash dan salin dan, untuk subset pelanggan, kunci API dan sertifikat SSL yang disediakan pelanggan.

Menurut Anand, Imperva pada 2017 mulai merenungkan migrasi ke AWS Relational Database Service (RDS) karena produk WAF-nya, yang kemudian dikenal sebagai Incapsula berada di bawah beban signifikan dari naiknya pelanggan baru dan memenuhi permintaan kritis mereka.

"Namun, Beberapa kunci keputusan yang dibuat selama proses evaluasi AWS, diambil bersama, memungkinkan informasi untuk disaring dari snapshot basis data."

Membuat snapshot basis data yang disebutkan di atas adalah salah satu dari keputusan itu, seperti pembuatan instance komputasi internal, penuh dengan kunci API AWS, yang dapat diakses secara eksternal oleh pengguna. Akibatnya, penyerang dapat kompromi instance, mencuri kunci dan menggunakannya untuk mengakses snapshot database.

Sementara exfiltrasi data terjadi pada Oktober 2018, Imperva tidak mengetahui tindakan itu sampai 20 Agustus lalu, ketika pihak ketiga mengirim set data perusahaan, mencari hadiah bug. Pihak ketiga ini tidak diketahui oleh Imperva.

Anand mengatakan Imperva telah mengambil beberapa langkah untuk mencegah insiden di masa depan, termasuk: memperkuat kontrol akses keamanan, meningkatkan audit akses snapshot, menonaktifkan instance komputer tidak aktif (termasuk yang dikompromikan) dan menempatkan instance komputasi aktif di belakang VPN, memutar kredensial dan kunci dan memperkuat manajemen kredensial, dan meningkatkan frekuensi pemindaian infrastruktur.

CTO juga menegaskan bahwa pelanggaran data yang terjadi pada Oktober 2018 tidak dapat terjadi hari ini karena perbaikan dalam kontrol internal ini. Dia juga mengatakan proses baru Imperva sekarang akan menandai instance komputasi yang rentan dan snapshot basis data seperti yang menyebabkan insiden itu.

Anand mengatakan bahwa Imperva tidak menemukan kerentanan lain selama penyelidikan daruratnya, dan sejauh ini tidak mengetahui adanya aktivitas jahat yang menargetkan pelanggan yang terungkap dalam insiden itu.

"Kami berkomunikasi dengan cepat dan awal dalam proses investigasi untuk memastikan pelanggan kami dapat membuat keputusan dan bertindak berdasarkan tindakan keamanan yang kami rekomendasikan," kata Anand.

"Rekomendasi itu mengakibatkan pelanggan kami mengubah lebih dari 13.000 kata sandi, memutar lebih dari 13.500 sertifikat SSL dan membuat lebih dari 1.400 kunci API."[]