Imperva公司泄露了其WAF客户的数据,包括SSL证书、API密钥
Imperva是领先的网络安全初创公司之一,帮助企业保护关键数据和应用程序免受网络攻击。该公司今天透露,其遭遇了数据泄露,暴露了部分客户的敏感信息。
数据泄露主要影响到使用Imperva的云Web应用程序防火墙(WAF)产品(以前称为 Incapsula)的客户,该产品以安全为中心,以 DDoS 缓解和 Web 应用程序安全功能而闻名,可保护网站阻止恶意活动。
在今天发表的一篇博客文章中,Imperva 首席执行官 Chris Hylen 透露,公司于 2019 年 8 月 20 日得知了这一事件,泄漏事件影响其云WAF产品的一部分客户,泄露的数据是2017 年 9 月 15 日之前的。
泄露的数据包括2017年9月15日之前注册的所有云 WAF客户的电子邮件地址、哈希和加盐密码,以及针对一部分用户的API密钥和客户的SSL 证书。
该公司表示:"我们启动了内部数据安全响应团队,并继续以我们全部资源和能力调查这种泄露是如何发生的。 “我们已经通知相关的监管机构。并且聘请了外部安全专家。”
该公司尚未透露云WAF客户的数据是如何泄露的,其服务器是否遭到破坏或者是否意外地在Internet上配置错误导致数据库处于不安全的状态。
然而,Imperva仍在调查这一事件,公司已直接通知所有受影响的客户,并且正在采取额外措施加强安全。
"我们对发生这一事件深感遗憾,并将继续分享此事的进展。此外,我们将与行业分享我们的调查和强化安全措施中学到的新的最佳实践措施。
建议云WAF用户更改其帐户密码、实现单点登录(SSO)、启用双重身份验证 (2FA)、生成和上传新的SSL证书以及重置其 API 密钥。