ImpervaのクラウドWAF利用者情報が流出 - APIキーや証明書なども
Impervaは、同社クラウド型ウェブアプリケーションファイアウォール(WAF)「Incapsula」の顧客に関する情報が外部に流出したことを明らかにした。
2017年9月15日までにクラウド型WAFのアカウントを所有していた利用者の関連情報が外部へ公開されていることが、2019年8月20日に判明したもの。
メールアドレスやソルトを追加後にハッシュ化したパスワードのほか、APIキーや利用者が提供したSSL証明書が含まれていたという。同社は、外部フォレンジック専門家と連携しつつ、情報が流出した原因について調査を進めている。
今回の問題を受けて、同社はクラウド向けWAFにパスワードの定期変更機能を追加。90日間の有効期限を設定した。利用者に対して、パスワードの変更やAPIキーのリセット、二要素認証やシングルサインオンの利用、あらたなSSL証明書を生成し、アップデートすることなど対策を呼びかけている。
(Security NEXT - 2019/08/28 )
ツイート
関連リンク
PR
関連記事
Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出
外部サービスのAPIで役職員情報が公開状態 - LINEヤフー
位置情報やチャットなど閲覧可能 - 「NauNau」の調査結果
富士通クラウドサービスへの攻撃 - 侵入の痕跡見つかる
LINEのチケット制ライブサービスで握手会動画が流出 - CDNから取得か
認証連携APIに不正アクセス、DCの不審アカウントきっかけに判明 - 弥生
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
海外ゲームメーカーでランサム被害 - 人気タイトルのソースコード流出か
「Google Play」の一部公開アプリが固有ID情報を取得 - Palo Altoが指摘
暗号資産取引所「Liquid」、DNSが改ざん被害 - 本人確認用データなど流出か