專門提供網路安全軟體及服務的Imperva在本周坦承,該公司雲端防火牆產品Cloud Web Application Firewall(Cloud WAF)客戶的資料外洩,波及部份客戶的電子郵件帳號、加鹽的雜湊密碼、API金鑰,甚至是客戶所提供的SSL憑證,已採取必要措施,以免災情擴大。

Cloud WAF的前身為Imperva在2015年買下的Incapsula,它是個雲端防火牆服務,主要可對抗任何已知或未知的威脅,它允許客戶自訂規則,也提供機器人控制、帳號接管保護、後門保護與雙因素身分認證等。

Imperva表示,他們是在今年8月20日於第三方的通知下才得知此一資料外洩事件,該意外影響了在2017年9月15日以前擁有Cloud WAF帳號的客戶,外洩的資料包含客戶的電子郵件帳號與加盬的雜湊密碼(hashed and salted passwords),也有部份客戶的API金鑰及所提供的SSL憑證外洩。

目前Imperva正在追查這批資料是如何外洩的,因此並未回應媒體的詢問,例如是否因配置錯誤所造成,或是遭到駭客入侵,也有媒體表示好奇,他們詢問如果只有影響2017年9月15日以前註冊的客戶,是否意味著該外洩事件是在兩年前就發生。

不過,Imperva目前的首要之務就是降低風險,包括強制輪替Cloud WAF產品的密碼,也通知受影響的客戶,要求他們變更帳號密碼、導入單一簽入、啟用雙因素認證、上傳新的SSL憑證,以及重置API金鑰等。


Advertisement

更多 iThome相關內容