Builder.ai的数据库被发现暴露了1.29TB和300多万条记录

一家著名人工智能初创公司的 300 多万条记录和 1.29 TB 的数据被发现暴露在配置错误的云存储系统中。

该不受保护的数据库由安全研究员 Jeremiah Fowler 发现，并由Website Planet详细介绍，据称该数据库属于 Builder.ai，这是一家人工智能软件开发平台提供商，已筹集 4.5 亿美元风险投资资金，其中包括2023 年 5 月的一轮 2.5 亿美元融资。

暴露的数据库包含敏感数据和操作数据，可能使 Builder.ai 的客户和内部运营面临风险。

300 万条记录中包括姓名、电子邮件地址、电话号码和实际地址等个人身份信息。该数据库还包含项目详细信息，包括正在进行和已完成的软件开发计划、客户互动和时间表，这些信息可能会将知识产权暴露给恶意行为者或竞争对手。

除了客户数据外，泄露的数据库还包括 Builder.ai 员工之间的内部通信。据 Fowler 称，这些电子邮件和消息讨论了客户项目、运营挑战和机密业务策略。该数据库还包括财务记录，包括发票和付款明细，这增加了欺诈活动和财务剥削的风险。

此次数据泄露事件的起因是云存储系统配置不当，缺乏足够的安全设置，导致未经授权的访问。Builder.ai 并不是第一家以这种方式泄露数据的公司，也不会是最后一家，不过，作为一家拥有 4.5 亿美元风险投资的公司，它应该制定流程来避免发生这种潜在的危险数据泄露事件。

尽管 Builder.ai 表示应该更清楚这一点，但接下来发生的事情同样令人担忧。Fowler 详细说明了尽管从 10 月 28 日开始发送了多条消息，但数据库仍然暴露在外，近一个月内所有人都可以访问。Builder.ai 也知道数据库已经暴露，一名员工曾通过电子邮件告诉 Fowler，“不幸的是，由于依赖系统的一些复杂性，我们花费的时间比预期的要长”。

尽管 Fowler 并未透露该数据库托管在哪家云提供商上，但如果是 Amazon Web Services Inc.，则更改 S3 等 AWS 服务上的读取权限可能只需不到 10 秒的时间。

福勒确实指出，目前尚不清楚该数据库是由 Builder.ai 直接拥有和管理还是通过第三方拥有和管理，但像 Builder.ai 这样拥有大量风险投资资金的公司无法直接或通过第三方解决一个简单的安全问题，这引发了人们的质疑。

曝光时间之长以及总部位于英国的 Builder.ai 未能在收到建议时采取行动，也引发了各种隐私法下的法律问题，包括英国 2018 年数据保护法、原欧盟通用数据保护条例和补充的英国 GDPR。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/