Builder.ai的數(shù)據(jù)庫(kù)被發(fā)現(xiàn)暴露了1.29TB和300多萬(wàn)條記錄

智能 PRO 稿源：SiliconANGLE 2024-12-21 06:50

一家著名人工智能初創(chuàng)公司的 300 多萬(wàn)條記錄和 1.29 TB 的數(shù)據(jù)被發(fā)現(xiàn)暴露在配置錯(cuò)誤的云存儲(chǔ)系統(tǒng)中。

該不受保護(hù)的數(shù)據(jù)庫(kù)由安全研究員 Jeremiah Fowler 發(fā)現(xiàn)，并由Website Planet詳細(xì)介紹，據(jù)稱該數(shù)據(jù)庫(kù)屬于 Builder.ai，這是一家人工智能軟件開(kāi)發(fā)平臺(tái)提供商，已籌集 4.5 億美元風(fēng)險(xiǎn)投資資金，其中包括2023 年 5 月的一輪 2.5 億美元融資。

暴露的數(shù)據(jù)庫(kù)包含敏感數(shù)據(jù)和操作數(shù)據(jù)，可能使 Builder.ai 的客戶和內(nèi)部運(yùn)營(yíng)面臨風(fēng)險(xiǎn)。

300 萬(wàn)條記錄中包括姓名、電子郵件地址、電話號(hào)碼和實(shí)際地址等個(gè)人身份信息。該數(shù)據(jù)庫(kù)還包含項(xiàng)目詳細(xì)信息，包括正在進(jìn)行和已完成的軟件開(kāi)發(fā)計(jì)劃、客戶互動(dòng)和時(shí)間表，這些信息可能會(huì)將知識(shí)產(chǎn)權(quán)暴露給惡意行為者或競(jìng)爭(zhēng)對(duì)手。

除了客戶數(shù)據(jù)外，泄露的數(shù)據(jù)庫(kù)還包括 Builder.ai 員工之間的內(nèi)部通信。據(jù) Fowler 稱，這些電子郵件和消息討論了客戶項(xiàng)目、運(yùn)營(yíng)挑戰(zhàn)和機(jī)密業(yè)務(wù)策略。該數(shù)據(jù)庫(kù)還包括財(cái)務(wù)記錄，包括發(fā)票和付款明細(xì)，這增加了欺詐活動(dòng)和財(cái)務(wù)剝削的風(fēng)險(xiǎn)。

此次數(shù)據(jù)泄露事件的起因是云存儲(chǔ)系統(tǒng)配置不當(dāng)，缺乏足夠的安全設(shè)置，導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)。Builder.ai 并不是第一家以這種方式泄露數(shù)據(jù)的公司，也不會(huì)是最后一家，不過(guò)，作為一家擁有 4.5 億美元風(fēng)險(xiǎn)投資的公司，它應(yīng)該制定流程來(lái)避免發(fā)生這種潛在的危險(xiǎn)數(shù)據(jù)泄露事件。

盡管 Builder.ai 表示應(yīng)該更清楚這一點(diǎn)，但接下來(lái)發(fā)生的事情同樣令人擔(dān)憂。Fowler 詳細(xì)說(shuō)明了盡管從 10 月 28 日開(kāi)始發(fā)送了多條消息，但數(shù)據(jù)庫(kù)仍然暴露在外，近一個(gè)月內(nèi)所有人都可以訪問(wèn)。Builder.ai 也知道數(shù)據(jù)庫(kù)已經(jīng)暴露，一名員工曾通過(guò)電子郵件告訴 Fowler，“不幸的是，由于依賴系統(tǒng)的一些復(fù)雜性，我們花費(fèi)的時(shí)間比預(yù)期的要長(zhǎng)”。

盡管 Fowler 并未透露該數(shù)據(jù)庫(kù)托管在哪家云提供商上，但如果是 Amazon Web Services Inc.，則更改 S3 等 AWS 服務(wù)上的讀取權(quán)限可能只需不到 10 秒的時(shí)間。

福勒確實(shí)指出，目前尚不清楚該數(shù)據(jù)庫(kù)是由 Builder.ai 直接擁有和管理還是通過(guò)第三方擁有和管理，但像 Builder.ai 這樣擁有大量風(fēng)險(xiǎn)投資資金的公司無(wú)法直接或通過(guò)第三方解決一個(gè)簡(jiǎn)單的安全問(wèn)題，這引發(fā)了人們的質(zhì)疑。

曝光時(shí)間之長(zhǎng)以及總部位于英國(guó)的 Builder.ai 未能在收到建議時(shí)采取行動(dòng)，也引發(fā)了各種隱私法下的法律問(wèn)題，包括英國(guó) 2018 年數(shù)據(jù)保護(hù)法、原歐盟通用數(shù)據(jù)保護(hù)條例和補(bǔ)充的英國(guó) GDPR。

0XU.CN