知名AI公司云泄漏超1.29TB内部敏感数据
据安全研究员Jeremiah Fowler发现并由Website Planet披露,这个未受保护的数据库据称属于Builder.ai。这是一家提供AI驱动软件开发平台的公司。该公司已获得4.5亿美元(约合人民币32.84亿元)的风险投资,其中包括2023年5月的D轮2.5亿美元融资。
暴露的数据库包含敏感数据和运营数据,这可能对Builder.ai的客户以及内部运营构成风险。
在300多万条记录中,包含可识别个人身份的信息,例如姓名、电子邮件地址、电话号码及实际地址。数据库还记录了项目细节,包括正在进行和已完成的软件开发计划、客户互动记录及时间表。这些信息可能导致知识产权泄露,进而被恶意行为者或竞争对手利用。
除了客户数据,数据库还暴露了Builder.ai员工之间的内部通信。据Fowler介绍,这些电子邮件和消息涉及客户项目、运营挑战以及机密商业策略。此外,数据库还包含财务记录,例如发票和支付详情,这进一步增加了欺诈活动和财务被滥用的风险。
此次数据泄露被归因于云存储系统配置错误。该系统缺乏足够的安全设置,从而允许未经授权的访问。虽然Builder.ai并非首个因类似问题暴露数据的公司,但作为一家已获得4.5亿美元风险投资的企业,Builder.ai理应具备避免此类风险的数据保护流程和机制。
如果说上述问题还能归结于Builder.ai尚不知情的话,接下来的情况更令人担忧。Fowler详细说明,自10月28日以来,他多次发送通知,提醒数据库暴露的问题。然而,在接近一个月的时间内,该数据库依然处于暴露状态,任何人均可访问。据悉,Builder.ai显然知晓这一问题。一名员工在电子邮件中回复Fowler称:“不幸的是,由于依赖系统的某些复杂性,解决问题的速度比我们预期的要慢。”
尽管Fowler未披露数据库托管的云服务提供商,但他指出,如果托管在亚马逊AWS上,仅修改AWS服务(如S3)的读取权限可能不到10秒钟即可完成。
Fowler还提到,目前尚不清楚该数据库是由Builder.ai直接管理,还是通过第三方管理。但是,像Builder.ai这样获得巨额风投资金的公司,无论是直接还是通过第三方都未能解决如此基础的安全问题,这确实值得质疑。
此外,数据库暴露的时间长度以及Builder.ai(总部位于英国)在被告知后的迟缓反应,也引发了对其在多项隐私法下的法律责任的担忧。这包括《英国2018年数据保护法》、《欧盟通用数据保护条例》以及作为补充的《英国通用数据保护条例》。
来源:安全内参,参考资料:siliconangle.com