核心摘要

• 未加密數(shù)據(jù)庫泄露：Builder.ai 一個未加密的數(shù)據(jù)庫被公開訪問，包含超過300萬條記錄，總計1.29TB，導(dǎo)致客戶和內(nèi)部數(shù)據(jù)泄露。
• 敏感信息外泄：泄露信息包括發(fā)票、保密協(xié)議、稅務(wù)文件、電子郵件截圖和云存儲密鑰，使客戶個人信息和公司內(nèi)部運作面臨風(fēng)險。
• 潛在攻擊風(fēng)險：泄露可能導(dǎo)致釣魚攻擊、偽造發(fā)票欺詐、未經(jīng)授權(quán)訪問云存儲，并對Builder.ai的聲譽造成損害。
• 響應(yīng)遲緩：Builder.ai在接到通知后近一個月才采取措施保護數(shù)據(jù)庫，引發(fā)對其應(yīng)急響應(yīng)能力的質(zhì)疑。

近日，網(wǎng)絡(luò)安全研究員Jeremiah Fowler透露，一家總部位于英國倫敦的人工智能開發(fā)平臺Builder.ai，由于數(shù)據(jù)庫配置錯誤，該平臺遭遇了重大數(shù)據(jù)泄露事件，共計泄露數(shù)據(jù)超過300萬條，1.29TB。

Builder.ai是Microsoft Power Platform的一部分，在全球多個地區(qū)設(shè)有分支機構(gòu)，它允許企業(yè)通過自動執(zhí)行流程和預(yù)測結(jié)果來提高業(yè)務(wù)績效。Builder.ai可以與Microsoft Dataverse以及各種云數(shù)據(jù)源（如SharePoint、OneDrive或Azure）集成，方便用戶訪問和管理業(yè)務(wù)數(shù)據(jù)。Builder.ai提供了多種預(yù)生成的AI模型，用戶可以直接使用這些模型，而無需從頭開始構(gòu)建，用戶可以根據(jù)業(yè)務(wù)需求創(chuàng)建自定義的AI模型，用于分析文本、圖像、結(jié)構(gòu)化數(shù)據(jù)等。

根據(jù)Fowler在Website Planet的報告，泄露的敏感信息包括客戶成本提案、保密協(xié)議、發(fā)票、稅務(wù)文件、內(nèi)部溝通記錄、秘密訪問密鑰、客戶個人信息以及電子郵件往來截圖。數(shù)據(jù)庫中約有337434個發(fā)票（18GB）和32,810個文件（4GB），標(biāo)記為主服務(wù)協(xié)議。

“將文檔和訪問密鑰以明文形式存儲在同一數(shù)據(jù)庫中，可能造成嚴重的安全漏洞。如果數(shù)據(jù)庫意外曝光或被未經(jīng)授權(quán)訪問，惡意攻擊者可能利用這些密鑰訪問鏈接系統(tǒng)、云存儲或其他敏感資源，無需額外身份驗證?！?/p>

數(shù)據(jù)庫配置錯誤是常見問題，但最新報告顯示，即使是ShinyHunters和Nemesis這樣的黑客組織也在積極入侵暴露的數(shù)據(jù)庫，這表明如果數(shù)據(jù)庫落入惡意威脅攻擊者手中，可能會危及公司聲譽和用戶隱私。

泄露的文檔對黑客來說是寶貴的資源，可以用于社交工程攻擊。例如制作含有惡意軟件的虛假發(fā)票，以欺騙Builder.ai的客戶。此外數(shù)據(jù)中的內(nèi)部信息可能被用來對Builder.ai員工發(fā)起有針對性的釣魚攻擊，泄露的云存儲訪問密鑰還可能允許未經(jīng)授權(quán)訪問其他位置存儲的更敏感數(shù)據(jù)。

更糟糕的是，Builder.ai 應(yīng)急響應(yīng)流程十分遲緩。在研究人員通知后，Builder.ai花了整整一個月才保護數(shù)據(jù)庫，并稱“復(fù)雜的系統(tǒng)依賴”是延遲的原因。盡管解釋不夠明確，但這表明數(shù)據(jù)庫曝光可能涉及第三方承包商。

研究人員強調(diào)，在構(gòu)建系統(tǒng)時減少依賴性的重要性，以避免妨礙應(yīng)急響應(yīng)。為了最小化風(fēng)險，F(xiàn)owler建議組織應(yīng)安全存儲管理憑據(jù)和訪問密鑰，對其進行加密，存儲在專用系統(tǒng)中，并與其他敏感數(shù)據(jù)隔離，以防止被利用。

參考來源：https://hackread.com/builder-ai-database-misconfiguration-expose-tb-records/