知名AI公司云泄漏超1.29TB内部敏感数据

据悉，暴露的数据库包含个人敏感数据和公司运营数据，事件归因为云存储配置不当。

12月23日消息，英国知名人工智能初创公司因配置错误的云存储系统，导致1.29TB数据和超过300万条记录被曝光。

据安全研究员Jeremiah Fowler发现并由Website Planet披露，这个未受保护的数据库据称属于Builder.ai。这是一家提供AI驱动软件开发平台的公司。该公司已获得4.5亿美元（约合人民币32.84亿元）的风险投资，其中包括2023年5月的D轮2.5亿美元融资。

泄露数据涉及个人信息和内部项目细节

暴露的数据库包含敏感数据和运营数据，这可能对Builder.ai的客户以及内部运营构成风险。

在300多万条记录中，包含可识别个人身份的信息，例如姓名、电子邮件地址、电话号码及实际地址。数据库还记录了项目细节，包括正在进行和已完成的软件开发计划、客户互动记录及时间表。这些信息可能导致知识产权泄露，进而被恶意行为者或竞争对手利用。

除了客户数据，数据库还暴露了Builder.ai员工之间的内部通信。据Fowler介绍，这些电子邮件和消息涉及客户项目、运营挑战以及机密商业策略。此外，数据库还包含财务记录，例如发票和支付详情，这进一步增加了欺诈活动和财务被滥用的风险。

事件归因为云存储配置不当

此次数据泄露被归因于云存储系统配置错误。该系统缺乏足够的安全设置，从而允许未经授权的访问。虽然Builder.ai并非首个因类似问题暴露数据的公司，但作为一家已获得4.5亿美元风险投资的企业，Builder.ai理应具备避免此类风险的数据保护流程和机制。

如果说上述问题还能归结于Builder.ai尚不知情的话，接下来的情况更令人担忧。Fowler详细说明，自10月28日以来，他多次发送通知，提醒数据库暴露的问题。然而，在接近一个月的时间内，该数据库依然处于暴露状态，任何人均可访问。据悉，Builder.ai显然知晓这一问题。一名员工在电子邮件中回复Fowler称：“不幸的是，由于依赖系统的某些复杂性，解决问题的速度比我们预期的要慢。”

尽管Fowler未披露数据库托管的云服务提供商，但他指出，如果托管在亚马逊AWS上，仅修改AWS服务（如S3）的读取权限可能不到10秒钟即可完成。

Fowler还提到，目前尚不清楚该数据库是由Builder.ai直接管理，还是通过第三方管理。但是，像Builder.ai这样获得巨额风投资金的公司，无论是直接还是通过第三方都未能解决如此基础的安全问题，这确实值得质疑。

此外，数据库暴露的时间长度以及Builder.ai（总部位于英国）在被告知后的迟缓反应，也引发了对其在多项隐私法下的法律责任的担忧。这包括《英国2018年数据保护法》、《欧盟通用数据保护条例》以及作为补充的《英国通用数据保护条例》。

编辑：陈十九

审核：商密君

征文启事

大家好，为了更好地促进同业间学术交流，商密君现开启征文活动，只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法，都可以积极向商密君投稿，商密君一定将您的声音传递给更多的人。

来源：安全内参

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。

点分享

点点赞

点在看