摘要:Builder.ai是一家总部位于伦敦的知名人工智能独角兽公司,这家公司曾在2023年5月完成2.5亿美元的融资,总融资额高达4.5亿美元,背后投资者有微软、软银等知名机构。
但令人震惊的是,这样一家资金雄厚的公司却因简单的安全疏漏导致了数据泄露。
来自Website Planet的公开记录的屏幕截图
事件披露
根据SiliconAngle外媒报道,这起事件由安全研究员Jeremiah Fowler发现,并在安全平台Website Planet上详细披露,但Fowler没有透露该数据库托管在何种云服务提供商上。
泄露内容涉及客户与内部机密信息,风险巨大
泄露超过300万条记录,1.29TB的数据,包含18GB的发票数据和4GB的服务协议文件。
客户数据:成本提案、保密协议(NDA)、发票、税务文件等;
内部数据:员工通信记录、电子邮件截图、主服务协议文件(32,810份,约4GB)和337,434份发票(约18GB);
关键数据:云存储密钥等访问凭证
这些数据既未设置密码保护,也未加密,直接向公众开放,暴露了客户信息和内部机密,带来了严重的安全隐患。
反应迟缓,问题拖延近一个月
令人震惊的是,事件暴露后,Fowler于10月28日向Builder.ai发出警告,但这家公司的反应却显得迟缓。直到一个月后,该数据库才被妥善保护。
Builder.ai回应称,延迟的原因是“复杂的系统依赖性”。尽管这种解释表明问题可能涉及第三方承包商,但也凸显了Builder.ai在事件响应流程上的不足。
网络安全专家指出,过于复杂的系统依赖可能拖延安全事件的响应速度,而这一问题在许多科技公司中普遍存在。
事件原因:配置错误引发的安全漏洞
这次数据泄露归因于云数据库的配置错误。由于未启用足够的安全设置,数据库被未经授权的访问者轻松获取。
尽管Builder.ai并不是首家因这种原因导致数据泄露的公司,但作为一家获得数亿美元融资的科技企业,其未能建立健全的安全防护机制,令人失望。
教训与建议:如何避免类似事件
Fowler强调,避免数据库配置错误和数据泄露的关键在于:
加密数据:确保数据库中的敏感信息都经过加密处理,即使意外暴露,数据也无法轻易读取;
分离敏感数据:将关键数据(如访问密钥)存储在独立的系统中,与其他敏感信息隔离;
保护访问密钥:将访问凭证存储在专用的安全系统中,并通过加密方式保护;
减少系统依赖性:构建更简单的系统架构,以避免复杂依赖阻碍安全事件的快速处理;
定期检查安全配置:定期审计数据库和云存储系统的配置,防止疏漏发生。
数据库安全的重要性
作为一家获得4.5亿美元融资、跨足多个地区的知名AI公司,Builder.ai的这起数据泄露事件无疑对其品牌声誉造成了严重打击。
这一事件不仅暴露了企业在数据安全管理上的重大漏洞,也敲响了警钟:无论企业规模大小,数据保护都应被视为核心任务,绝不能掉以轻心。
尤其是像Builder.ai这样手握巨额融资的企业而言,未能妥善解决基本的安全问题,不仅会动摇客户对其的信任,还可能引发法律纠纷和商业损失,带来难以弥补的双重风险。
参考文章:
1、Database belonging to Builder.ai found exposing 1.29TB and 3M+ records
2、Builder.ai Database Misconfiguration Exposes 1.29 TB of Unsecured Records
3、Builder.ai: The wild ride of a Microsoft-backed tech unicorn
老鱼建了个星球,聚焦数据库领域的那些事儿,讨论数据库产品、技术、品牌、商业模式、行业资讯以及你在其他地方可能看不到的信息。欢迎大家一起探讨交流。
- END -
延伸阅读
讲述数据领域的故事
欢迎订阅老鱼笔记
✬如果你喜欢这篇文章,欢迎分享到朋友圈✬
原创不易,且行且珍惜
