در اواخر ماه اوت، Imperva دچار یک حادثه امنیتی شد که منجر به به خطر افتادن اطلاعات حساس برخی از کاربران Cloud WAF (که قبلا Incapsula نام داشت) شد.
روز پنجشنبه، Imperva CTO Kunal Anand سرانجام توضیحاتی را در رابطه با چگونگی وقوع این حادثه ارایه داد.
اولین نشانهها از اینکه خطایی رخ داده است، در تاریخ 20 اوت 2019 و زمانی بود که این شرکت دادهای را از شخص ناشناسی مبنی بر درخواست یک رفع اشکال، دریافت کرد.
نهایتاً مشخص شد که در اكتبر سال 2018، كلید API اداری در یكی از حسابهای AWS تولیدی آنها مورد سوءاستفاده واقع شده و عکس فوری از یك پایگاه داده حاوی اطلاعات مربوط به کاربران در معرض دید قرار گرفته است.
پس از آن یک مجموعه داده از یک عکس فوری از تاریخ 15 سپتامبر 2017 بدست آمد، که حاوی دادههای مشتریانی بود که حسابهای Cloud WAF را قبل و بعد از آن تاریخ تنظیم کردهاند. این دادهها شامل آدرسهای ایمیل، کلمه عبورهای هش شده، کلیدهای API و کلیدهای TLS ارایه شده به کاربران است.
این شرکت اظهار داشت که این نفوذ در سال 2017 پایه ریزی شده بود، که در آن سال تیم توسعه محصولات آنها به خدمات پایگاه دادههای ارتباطی AWS نقل مکان کردند تا پایگاه داده شرکت مورد نظر را تعدیل کنند.
برخی از تصمیمات کلیدی گرفته شده در طی فرآیند ارزیابی AWS، که با هم اتخاذ شده بودند، امکان استخراج اطلاعات از عکس فوری پایگاه داده را فراهم کردند. این تصمیمات عبارتند از: (1) ایجاد یک عکس فوری از پایگاه داده برای آزمایش؛ (2) ایجاد یک نمونه محاسباتی داخلی که از خارج قابل دسترسی بوده و حاوی یک کلید API AWS بود؛ (3) به خطر افتادن این نمونه محاسبه شده و به سرقت رفتن کلید AWS API؛ و (4) سوءاستفاده از کلید AWS API برای دسترسی به عکس. “
وی با اطمینان خاطر نشان كرد: “تحقیقات نشان میدهد كه استخراج دادهها نتیجه آسیبپذیری Cloud WAF نبوده و پایگاه دادهها و تصاویر فوری برای سایر محصولات آنها استخراج نشدهاند.”
او در ادامه گفت: “تاکنون، هیچگونه رفتار مخربی که کاربران ما را هدف قرار دهد (ورود به سیستم، تغییرات قانون و غیره) پیدا نکردیم و رویههایی برای ادامه نظارت بر چنین فعالیتهایی را پیگیری کردهایم. در عین حال، هوشیار هستیم و همچنان بر رفتارهای مخرب نظارت خواهیم داشت.”