賬號(hào)和密鑰明文存儲(chǔ),AI 平臺(tái) 1.29T 數(shù)據(jù)庫裸奔
核心摘要
- 未加密數(shù)據(jù)庫泄露:Builder.ai 一個(gè)未加密的數(shù)據(jù)庫被公開訪問,包含超過300萬條記錄,總計(jì)1.29TB,導(dǎo)致客戶和內(nèi)部數(shù)據(jù)泄露。
- 敏感信息外泄:泄露信息包括發(fā)票、保密協(xié)議、稅務(wù)文件、電子郵件截圖和云存儲(chǔ)密鑰,使客戶個(gè)人信息和公司內(nèi)部運(yùn)作面臨風(fēng)險(xiǎn)。
- 潛在攻擊風(fēng)險(xiǎn):泄露可能導(dǎo)致釣魚攻擊、偽造發(fā)票欺詐、未經(jīng)授權(quán)訪問云存儲(chǔ),并對Builder.ai的聲譽(yù)造成損害。
- 響應(yīng)遲緩:Builder.ai在接到通知后近一個(gè)月才采取措施保護(hù)數(shù)據(jù)庫,引發(fā)對其應(yīng)急響應(yīng)能力的質(zhì)疑。
近日,網(wǎng)絡(luò)安全研究員Jeremiah Fowler透露,一家總部位于英國倫敦的人工智能開發(fā)平臺(tái)Builder.ai,由于數(shù)據(jù)庫配置錯(cuò)誤,該平臺(tái)遭遇了重大數(shù)據(jù)泄露事件,共計(jì)泄露數(shù)據(jù)超過300萬條,1.29TB。
Builder.ai是Microsoft Power Platform的一部分,在全球多個(gè)地區(qū)設(shè)有分支機(jī)構(gòu),它允許企業(yè)通過自動(dòng)執(zhí)行流程和預(yù)測結(jié)果來提高業(yè)務(wù)績效。Builder.ai可以與Microsoft Dataverse以及各種云數(shù)據(jù)源(如SharePoint、OneDrive或Azure)集成,方便用戶訪問和管理業(yè)務(wù)數(shù)據(jù)。Builder.ai提供了多種預(yù)生成的AI模型,用戶可以直接使用這些模型,而無需從頭開始構(gòu)建,用戶可以根據(jù)業(yè)務(wù)需求創(chuàng)建自定義的AI模型,用于分析文本、圖像、結(jié)構(gòu)化數(shù)據(jù)等。
根據(jù)Fowler在Website Planet的報(bào)告,泄露的敏感信息包括客戶成本提案、保密協(xié)議、發(fā)票、稅務(wù)文件、內(nèi)部溝通記錄、秘密訪問密鑰、客戶個(gè)人信息以及電子郵件往來截圖。數(shù)據(jù)庫中約有337434個(gè)發(fā)票(18GB)和32,810個(gè)文件(4GB),標(biāo)記為主服務(wù)協(xié)議。
“將文檔和訪問密鑰以明文形式存儲(chǔ)在同一數(shù)據(jù)庫中,可能造成嚴(yán)重的安全漏洞。如果數(shù)據(jù)庫意外曝光或被未經(jīng)授權(quán)訪問,惡意攻擊者可能利用這些密鑰訪問鏈接系統(tǒng)、云存儲(chǔ)或其他敏感資源,無需額外身份驗(yàn)證。”
數(shù)據(jù)庫配置錯(cuò)誤是常見問題,但最新報(bào)告顯示,即使是ShinyHunters和Nemesis這樣的黑客組織也在積極入侵暴露的數(shù)據(jù)庫,這表明如果數(shù)據(jù)庫落入惡意威脅攻擊者手中,可能會(huì)危及公司聲譽(yù)和用戶隱私。
泄露的文檔對黑客來說是寶貴的資源,可以用于社交工程攻擊。例如制作含有惡意軟件的虛假發(fā)票,以欺騙Builder.ai的客戶。此外數(shù)據(jù)中的內(nèi)部信息可能被用來對Builder.ai員工發(fā)起有針對性的釣魚攻擊,泄露的云存儲(chǔ)訪問密鑰還可能允許未經(jīng)授權(quán)訪問其他位置存儲(chǔ)的更敏感數(shù)據(jù)。
更糟糕的是,Builder.ai 應(yīng)急響應(yīng)流程十分遲緩。在研究人員通知后,Builder.ai花了整整一個(gè)月才保護(hù)數(shù)據(jù)庫,并稱“復(fù)雜的系統(tǒng)依賴”是延遲的原因。盡管解釋不夠明確,但這表明數(shù)據(jù)庫曝光可能涉及第三方承包商。
研究人員強(qiáng)調(diào),在構(gòu)建系統(tǒng)時(shí)減少依賴性的重要性,以避免妨礙應(yīng)急響應(yīng)。為了最小化風(fēng)險(xiǎn),F(xiàn)owler建議組織應(yīng)安全存儲(chǔ)管理憑據(jù)和訪問密鑰,對其進(jìn)行加密,存儲(chǔ)在專用系統(tǒng)中,并與其他敏感數(shù)據(jù)隔離,以防止被利用。
參考來源:https://hackread.com/builder-ai-database-misconfiguration-expose-tb-records/
