Сперва главное:
🔍 Исследователь безопасности Джеремайя Фаулер обнаружил архив с данными более чем трёх миллионов пользователей британской платформы Builder.ai.
🗂 В базе данных содержались коммерческие предложения, соглашения о неразглашении, счета-фактуры, налоговые документы, скриншоты переписки, внутренние файлы изображений и многое другое.
⛔ Среди файлов были обнаружены документы с деталями доступа к двум отдельным облачным базам данных, включая секретные ключи доступа.
⚠️ Информация в архиве могла быть использована для фишинга, кражи личных данных и даже мошенничества с банковскими операциями.
📢 После сообщения об уязвимости Builder.ai не смогла заблокировать базу данных даже спустя месяц, сославшись на «сложности с зависимыми системами».
Теперь подробнее:
Компания Builder.ai могла непреднамеренно раскрыть конфиденциальную информацию о миллионах своих пользователей, утверждают исследователи.
Джеремайя Фаулер, исследователь безопасности, известный поиском незащищённых паролями баз данных, содержащих секретную информацию, заявил, что обнаружил архив с более чем 3 миллионами записей.
База данных принадлежит Builder.ai, британской платформе no-code/low-code, которая позволяет предприятиям быстро и недорого создавать собственные программные приложения без глубоких технических знаний.
Фаулер сообщил, что база данных содержала 3 077 542 записи общим объёмом 1,29 ТБ, включая коммерческие предложения, соглашения о неразглашении информации, счета-фактуры, налоговые документы, скриншоты переписки по электронной почте, файлы внутренних изображений и многое другое.
«Среди наиболее тревожных файлов были два документа, в которых указаны данные доступа и настройки двух отдельных облачных баз данных хранения, которые также включали секретные ключи доступа», — сказал Фаулер на веб-сайте Planet.
«Гипотетически возможно, что эти ключи доступа могли бы раскрыть дополнительные потенциально конфиденциальные данные, если бы они попали в чужие руки».
Всего было 337 434 счёта-фактуры и 32 810 файлов с пометкой «Генеральные соглашения об обслуживании». Последние также содержали соглашения о неразглашении с именами, адресами электронной почты, IP-адресами, сводками затрат на проект и другими деталями проекта.
Фаулер поделился своими находками с компанией Builder.ai, однако даже месяц спустя она не смогла заблокировать базу данных, сославшись на «сложности с зависимыми системами», и неизвестно, открыта ли база данных до сих пор и доступна ли она.
Неправильно настроенные базы данных остаются одной из главных причин утечек данных в интернете. Многие исследователи предупреждают, что организации не понимают общей модели безопасности, представленной у большинства поставщиков облачных услуг, и в итоге создают огромные базы данных, заполненные ценной информацией, которые открыты и доступны для всех.
Если киберпреступники найдут эти архивы, они смогут использовать содержащуюся в них информацию для убедительных фишинговых атак, кражи личных данных и, возможно, даже мошенничества с использованием электронных средств платежа.