核心摘要

• 未加密數據庫泄露：Builder.ai 一個未加密的數據庫被公開訪問，包含超過300萬條記錄，總計1.29TB，導致客戶和內部數據泄露。
• 敏感信息外泄：泄露信息包括發票、保密協議、稅務文件、電子郵件截圖和云存儲密鑰，使客戶個人信息和公司內部運作面臨風險。
• 潛在攻擊風險：泄露可能導致釣魚攻擊、偽造發票欺詐、未經授權訪問云存儲，并對Builder.ai的聲譽造成損害。
• 響應遲緩：Builder.ai在接到通知后近一個月才采取措施保護數據庫，引發對其應急響應能力的質疑。

近日，網絡安全研究員Jeremiah Fowler透露，一家總部位于英國倫敦的人工智能開發平臺Builder.ai，由于數據庫配置錯誤，該平臺遭遇了重大數據泄露事件，共計泄露數據超過300萬條，1.29TB。

Builder.ai是Microsoft Power Platform的一部分，在全球多個地區設有分支機構，它允許企業通過自動執行流程和預測結果來提高業務績效。Builder.ai可以與Microsoft Dataverse以及各種云數據源（如SharePoint、OneDrive或Azure）集成，方便用戶訪問和管理業務數據。Builder.ai提供了多種預生成的AI模型，用戶可以直接使用這些模型，而無需從頭開始構建，用戶可以根據業務需求創建自定義的AI模型，用于分析文本、圖像、結構化數據等。

根據Fowler在Website Planet的報告，泄露的敏感信息包括客戶成本提案、保密協議、發票、稅務文件、內部溝通記錄、秘密訪問密鑰、客戶個人信息以及電子郵件往來截圖。數據庫中約有337434個發票（18GB）和32,810個文件（4GB），標記為主服務協議。

“將文檔和訪問密鑰以明文形式存儲在同一數據庫中，可能造成嚴重的安全漏洞。如果數據庫意外曝光或被未經授權訪問，惡意攻擊者可能利用這些密鑰訪問鏈接系統、云存儲或其他敏感資源，無需額外身份驗證。”

數據庫配置錯誤是常見問題，但最新報告顯示，即使是ShinyHunters和Nemesis這樣的黑客組織也在積極入侵暴露的數據庫，這表明如果數據庫落入惡意威脅攻擊者手中，可能會危及公司聲譽和用戶隱私。

泄露的文檔對黑客來說是寶貴的資源，可以用于社交工程攻擊。例如制作含有惡意軟件的虛假發票，以欺騙Builder.ai的客戶。此外數據中的內部信息可能被用來對Builder.ai員工發起有針對性的釣魚攻擊，泄露的云存儲訪問密鑰還可能允許未經授權訪問其他位置存儲的更敏感數據。

更糟糕的是，Builder.ai 應急響應流程十分遲緩。在研究人員通知后，Builder.ai花了整整一個月才保護數據庫，并稱“復雜的系統依賴”是延遲的原因。盡管解釋不夠明確，但這表明數據庫曝光可能涉及第三方承包商。

研究人員強調，在構建系統時減少依賴性的重要性，以避免妨礙應急響應。為了最小化風險，Fowler建議組織應安全存儲管理憑據和訪問密鑰，對其進行加密，存儲在專用系統中，并與其他敏感數據隔離，以防止被利用。

參考來源：https://hackread.com/builder-ai-database-misconfiguration-expose-tb-records/