Imperva漏洞暴露WAF客户的数据，包括SSL证书、API密钥

安全漏洞尤其影响到Imperva云的客户Web应用防火墙（WAF）产品，以前称为 Incapsula是一种以安全为中心的CDN服务，以其DDoS缓解和web应用程序安全功能而闻名，可保护网站免受恶意活动的攻击。

Imperva首席执行官克里斯·海伦（Chris Hylen）在今天发布的一篇博客文章中透露，该公司在2019年8月20日得知了这起事件，只是在有人告知其数据泄露“影响到其云WAF产品中截至2017年9月15日拥有账户的一部分客户”之后
公开的数据包括2017年9月15日之前注册的所有Cloud WAF客户的电子邮件地址、哈希密码和盐密码，以及API密钥和客户为部分用户提供的SSL证书。

该公司表示：“我们启动了内部数据安全响应团队和协议，并继续全力调查这一风险是如何发生的”。

“我们已经通知了相应的全球监管机构。我们已经聘请了外部法医专家”。

该公司尚未透露Cloud WAF客户的数据是如何泄露的，其服务器是否受到了破坏，或者是否意外地在互联网上配置错误的数据库中不安全。
然而，Imperva仍在调查该事件，该公司已确保直接通知所有受影响的客户，并采取其他措施加强安全。

该公司表示：“我们对这起事件的发生深感遗憾，并将继续分享未来的最新情况。此外，我们将与更广泛的行业分享从我们的调查和加强的安全措施中获得的经验教训和新的最佳做法”。

建议云WAF用户更改其帐户密码、实现单点登录（SSO）、启用双因素身份验证（2FA）、生成并上载新的SSL证书，以及重置其API密钥。