英國知名AI公司云泄漏超1.29TB內部敏感數據
責編:gltian |2024-12-24 15:40:31英國知名人工智能初創公司因配置錯誤的云存儲系統,導致1.29TB數據和超過300萬條記錄被曝光。
據安全研究員Jeremiah Fowler發現并由Website Planet披露,這個未受保護的數據庫據稱屬于Builder.ai。這是一家提供AI驅動軟件開發平臺的公司。該公司已獲得4.5億美元(約合人民幣32.84億元)的風險投資,其中包括2023年5月的D輪2.5億美元融資。
泄露數據涉及個人信息和內部項目細節
暴露的數據庫包含敏感數據和運營數據,這可能對Builder.ai的客戶以及內部運營構成風險。
在300多萬條記錄中,包含可識別個人身份的信息,例如姓名、電子郵件地址、電話號碼及實際地址。數據庫還記錄了項目細節,包括正在進行和已完成的軟件開發計劃、客戶互動記錄及時間表。這些信息可能導致知識產權泄露,進而被惡意行為者或競爭對手利用。
除了客戶數據,數據庫還暴露了Builder.ai員工之間的內部通信。據Fowler介紹,這些電子郵件和消息涉及客戶項目、運營挑戰以及機密商業策略。此外,數據庫還包含財務記錄,例如發票和支付詳情,這進一步增加了欺詐活動和財務被濫用的風險。
事件歸因為云存儲配置不當
此次數據泄露被歸因于云存儲系統配置錯誤。該系統缺乏足夠的安全設置,從而允許未經授權的訪問。雖然Builder.ai并非首個因類似問題暴露數據的公司,但作為一家已獲得4.5億美元風險投資的企業,Builder.ai理應具備避免此類風險的數據保護流程和機制。
如果說上述問題還能歸結于Builder.ai尚不知情的話,接下來的情況更令人擔憂。Fowler詳細說明,自10月28日以來,他多次發送通知,提醒數據庫暴露的問題。然而,在接近一個月的時間內,該數據庫依然處于暴露狀態,任何人均可訪問。據悉,Builder.ai顯然知曉這一問題。一名員工在電子郵件中回復Fowler稱:“不幸的是,由于依賴系統的某些復雜性,解決問題的速度比我們預期的要慢。”
盡管Fowler未披露數據庫托管的云服務提供商,但他指出,如果托管在亞馬遜AWS上,僅修改AWS服務(如S3)的讀取權限可能不到10秒鐘即可完成。
Fowler還提到,目前尚不清楚該數據庫是由Builder.ai直接管理,還是通過第三方管理。但是,像Builder.ai這樣獲得巨額風投資金的公司,無論是直接還是通過第三方都未能解決如此基礎的安全問題,這確實值得質疑。
此外,數據庫暴露的時間長度以及Builder.ai(總部位于英國)在被告知后的遲緩反應,也引發了對其在多項隱私法下的法律責任的擔憂。這包括《英國2018年數據保護法》、《歐盟通用數據保護條例》以及作為補充的《英國通用數據保護條例》。
參考資料:https://siliconangle.com/2024/12/19/database-belonging-builder-ai-found-exposing-1-29tb-3m-records/