- Investigadores de seguridad descubrieron una gran base de datos con más de 3 millones de registros
- Pertenece a Builder.ai, una plataforma de código bajo/sin código
- Contiene información confidencial, NDA y más.
Builder.ai puede haber expuesto sin saberlo información confidencial sobre sus millones de usuarios, alegaron los investigadores.
Jeremiah Fowler, un investigador de seguridad conocido por buscar bases de datos no protegidas con contraseña que contengan información confidencial, dijo que descubrió un archivo con más de 3 millones de registros.
La base de datos pertenece a Builder.ai, una plataforma británica sin código/bajo código que permite a las empresas crear de forma rápida y asequible aplicaciones de software personalizadas sin necesidad de conocimientos técnicos profundos.
Complejidades con los sistemas dependientes
Fowler dijo que la base de datos contenía 3.077.542 registros, con un tamaño total de 1,29 TB, incluidas propuestas de costos, NDA, facturas, documentos fiscales, capturas de pantalla de correspondencia por correo electrónico, archivos de imágenes internos y mucho más.
“Entre los archivos más preocupantes había dos documentos que indicaban detalles de acceso y configuración de dos bases de datos de almacenamiento en la nube separadas que también incluían claves de acceso secretas”, dijo Fowler en el Sitio web del planeta.
“Es hipotéticamente posible que estas claves de acceso hubieran expuesto datos adicionales potencialmente confidenciales si hubieran caído en las manos equivocadas”.
En total, hubo 337.434 facturas y 32.810 archivos denominados Acuerdos Marco de Servicios. Este último también contenía NDA con nombres, correos electrónicos, direcciones IP, resúmenes de costos del proyecto y otros detalles del proyecto.
Fowler reveló sus hallazgos a Builder.ai, pero no pudo bloquear la base de datos ni siquiera un mes después, citando “complejidades con los sistemas dependientes”, y se desconoce si la base de datos todavía está abierta y accesible.
Las bases de datos defectuosas siguen siendo una de las principales causas de filtración de datos en Internet. Muchos investigadores advierten que las organizaciones no entienden el modelo de seguridad compartida que existe en la mayoría de proveedores de servicios en la nube, y que acaban creando enormes bases de datos, llenas de información valiosa, abiertas y accesibles para todos.
Si los ciberdelincuentes encuentran estos archivos, pueden utilizar la información que contienen para perpetrar ataques de phishing, robo de identidad y posiblemente incluso fraude en línea.