Güvenlik araştırmacıları, 3M’den fazla kaydı içeren önemli bir veritabanı keşfetti. Bu veritabanı, Builder.ai adlı düşük kodlu/kodsuz bir platforma ait. Hassas bilgiler, NDA’lar ve daha fazlasını içeriyor.

Builder.ai’nin milyonlarca kullanıcısının hassas bilgilerini istemeden ifşa etmiş olabileceği iddia edildi. Güvenlik araştırmacısı olarak tanınan Jeremiah Fowler, hassas bilgiler içeren, şifre koruması olmayan veritabanlarını araştıran kişilerden biri olarak, 3 milyondan fazla kaydı içeren bir arşivi keşfettiğini söyledi. Veritabanı, işletmelere derin teknik uzmanlık gerektirmeden özel yazılım uygulamaları oluşturmalarına olanak tanıyan İngiliz bir kodsuz/düşük kodlu platform olan Builder.ai’ye aitti.

Bağımlı sistemlerle karmaşalar
Fowler, veritabanında, mali teklifler, NDA anlaşmaları, faturalar, vergi belgeleri, e-posta yazışmalarının ekran görüntüleri, dahili resim dosyaları ve çok daha fazlasını içeren 1,29 TB boyutunda 3,077,542 kayıt olduğunu belirtti. “En endişe verici dosyalardan ikisi, iki ayrı bulut depolama veritabanının erişim ve yapılandırma detaylarını gösteren belgelerdi ve bu belgeler gizli erişim anahtarlarını da içeriyordu,” dedi Fowler. “Bu erişim anahtarlarının yanlış ellere geçmesi durumunda ek potansiyel olarak hassas veriler açığa çıkabilirdi.” Toplamda, 337,434 fatura ve 32,810 dosya “Ana hizmet anlaşmaları” olarak etiketlenmişti. Sonuncusu, isimleri, e-postaları, IP adreslerini, proje maliyet özetlerini ve diğer proje detaylarını içeren NDA anlaşmalarını içeriyordu. Fowler bulgularını Builder.ai’e iletti, ancak bir ay sonra bile veritabanını kilitli tutamadı ve “bağımlı sistemlerle karmaşalar” nedeniyle olduğunu belirterek açıklamada bulundu – ve veritabanının hala açık ve erişilebilir olup olmadığı bilinmiyor.

Yanlış yapılandırılmış veritabanları, internet üzerinde veri sızıntılarının en büyük nedenlerinden biri olarak kalmaya devam etmektedir. Birçok araştırmacı, organizasyonların çoğu bulut hizmeti sağlayıcılarında bulunan paylaşımlı güvenlik modelini anlamadığını, sonunda ise değerli bilgilerle dolu, açık ve erişilebilir olan büyük veritabanları oluşturduğunu ve bu durumun tüm kullanıcılara açık olduğunu uyarıyor. Eğer siber suçlular bu arşivleri bulursa, bu bilgilerle ikna edici dolandırıcılık saldırıları, kimlik hırsızlığı ve belki de tel ödemeli dolandırıcılık yapabilirler.