APIsec expone datos de clientes por fallo de seguridad durante varios días

Una base de datos interna de la empresa quedó accesible sin contraseña. El incidente afectó a información de clientes corporativos, incluyendo nombres, correos electrónicos y detalles de seguridad. UpGuard descubrió la filtración el 5 de marzo y APIsec la corrigió poco después.

«Un error humano, no un ataque malicioso»

APIsec, especializada en pruebas de seguridad para APIs, confirmó que la exposición se debió a «un error humano», según su fundador, Faizel Lakhani. Inicialmente, la empresa restó importancia al afirmar que los datos eran «de prueba», pero luego reconoció que incluían información real de clientes.

Qué datos se filtraron

UpGuard encontró registros desde 2018, con nombres y correos de empleados de clientes, así como detalles técnicos sobre la seguridad de sus APIs. También había claves privadas de AWS y credenciales para Slack y GitHub, aunque APIsec aseguró que estaban inactivas.

Reacción de la empresa

Tras la notificación de UpGuard, APIsec aseguró la base de datos y notificó a los afectados. Sin embargo, no compartió copias de las notificaciones ni confirmó si informaría a las autoridades, como exigen las leyes de protección de datos.

APIs: la puerta trasera de la ciberseguridad

Las APIs permiten la comunicación entre sistemas, pero si están mal configuradas, pueden ser explotadas para robar datos. APIsec trabaja con empresas Fortune 500 para identificar vulnerabilidades, lo que aumenta el riesgo si su propia seguridad falla.

Un recordatorio para las empresas tecnológicas

El incidente subraya la importancia de proteger bases de datos internas, incluso cuando se consideran «no productivas». La exposición de datos sensibles, aunque sea temporal, puede ser aprovechada por actores malintencionados.