Softwarebedrijf Zapier heeft gegevens van klanten gelekt die onbedoeld in repositories waren opgeslagen en door een 2FA-misconfiguratie van een medewerkersaccount konden worden gestolen. Het zou mogelijk om authenticatietokens gaan. Dat stelt The Verge op basis van een e-mail die het bedrijf naar getroffen klanten stuurde. Zapier biedt software waarmee het mogelijk is om verschillende webapplicaties in dezelfde workflow te gebruiken.

Het bedrijf stelt dat het op donderdag 27 februari ongeautoriseerde toegang tot verschillende repositories ontdekte. Volgens de e-mail zou dit normaal geen gevolgen voor klanten hebben, maar bleken de gecompromitteerde repositories 'bepaalde klantinformatie' te bevatten die onbedoeld gekopieerd was, aldus de verklaring. Om wat voor informatie en hoeveel klanten het precies gaat laat Zapier niet weten. De gegevens zouden voor 'debugging doeleinden' naar de repositories zijn gekopieerd.

Hoe de aanvaller precies toegang tot de repositories konden krijgen is ook niet bekendgemaakt. De enige uitleg die Zapier geeft is dat de een ongeautoriseerde gebruiker door een 'misconfiguratie' van de tweefactorauthenticatie (2FA) van een medewerkersaccount toegang tot de repositories kreeg. Getroffen klanten worden opgeroepen om op basis van de gestolen gegevens maatregelen te nemen. Het kan dan gaan om het vervangen van plain text authenticatietokens.