近日,网络安全研究员Jeremiah Fowler透露,一家总部位于英国伦敦的人工智能开发平台Builder.ai,由于数据库配置错误,该平台遭遇了重大数据泄露事件,共计泄露数据超过300万条,1.29TB。
Builder.ai是Microsoft Power Platform的一部分,在全球多个地区设有分支机构,它允许企业通过自动执行流程和预测结果来提高业务绩效。Builder.ai可以与Microsoft Dataverse以及各种云数据源(如SharePoint、OneDrive或Azure)集成,方便用户访问和管理业务数据。Builder.ai提供了多种预生成的AI模型,用户可以直接使用这些模型,而无需从头开始构建,用户可以根据业务需求创建自定义的AI模型,用于分析文本、图像、结构化数据等。
根据Fowler在Website Planet的报告,泄露的敏感信息包括客户成本提案、保密协议、发票、税务文件、内部沟通记录、秘密访问密钥、客户个人信息以及电子邮件往来截图。数据库中约有337434个发票(18GB)和32,810个文件(4GB),标记为主服务协议。
“将文档和访问密钥以明文形式存储在同一数据库中,可能造成严重的安全漏洞。如果数据库意外曝光或被未经授权访问,恶意攻击者可能利用这些密钥访问链接系统、云存储或其他敏感资源,无需额外身份验证。”
数据库配置错误是常见问题,但最新报告显示,即使是ShinyHunters和Nemesis这样的黑客组织也在积极入侵暴露的数据库,这表明如果数据库落入恶意威胁攻击者手中,可能会危及公司声誉和用户隐私。
泄露的文档对黑客来说是宝贵的资源,可以用于社交工程攻击。例如制作含有恶意软件的虚假发票,以欺骗Builder.ai的客户。此外数据中的内部信息可能被用来对Builder.ai员工发起有针对性的钓鱼攻击,泄露的云存储访问密钥还可能允许未经授权访问其他位置存储的更敏感数据。
更糟糕的是,Builder.ai 应急响应流程十分迟缓。在研究人员通知后,Builder.ai花了整整一个月才保护数据库,并称“复杂的系统依赖”是延迟的原因。尽管解释不够明确,但这表明数据库曝光可能涉及第三方承包商。
研究人员强调,在构建系统时减少依赖性的重要性,以避免妨碍应急响应。为了最小化风险,Fowler建议组织应安全存储管理凭据和访问密钥,对其进行加密,存储在专用系统中,并与其他敏感数据隔离,以防止被利用。
转自FreeBuf,原文链接:https://www.freebuf.com/news/418279.html
封面来源于网络,如有侵权请联系删除
