研究人员发现了一个巨大的Google Cloud Storage存储桶,该存储桶可以自由访问,其中包含大量个人信息。AI初创公司WotNot为企业提供创建定制聊天机器人的能力。据报道,该公司拥有3,000家客户,其中包括一些知名的家庭品牌。但其解决方案的设置方式引入了额外的信息链路,导致个人可识别信息(PII)从客户流向部署聊天机器人的公司时存在额外的风险。
鉴于研究人员在346,381个文件中发现的数据种类繁多,他们怀疑这些数据来自多个WotNot客户。发现的一些记录包括:
- 身份证件,如护照,其中包含全名、出生日期、护照号码等网络犯罪分子热衷获取的信息。
- 医疗记录,包括诊断、治疗历史、测试结果和其他应保密的医疗信息。
- 简历,其中包含工作经历、地址、教育背景和联系数据,如电子邮件地址和电话号码。
总的来说,如果网络犯罪分子发现此类数据,他们可以部署各种欺诈手段,从看起来令人信服的钓鱼邮件到身份盗用。
WotNot在声明中表示:“数据泄露的原因是云存储桶策略被修改以适应特定用例。然而,我们遗憾地未能彻底验证其可访问性,这无意中导致数据暴露。”“特定用例”似乎是这些客户正在使用‘免费计划’,该计划显然不包含任何安全性。”
WotNot进一步澄清:“对于企业客户,我们提供私有实例以确保严格遵守安全和合规标准。”WotNot还表示,通常建议客户在收到文件并将其转发到自己的系统后删除服务器上的这些文件。我建议WotNot客户为其客户提供一种直接发送此类文件的方法。
我们已经见过太多供应链中的漏洞导致从未听说过泄露公司的人员数据曝光的情况。如果有什么教训的话,那就是在向公司提供敏感个人信息之前,检查数据的去向非常重要。但这同时也表明,最终用户并不总是清楚他们打交道的公司是否有额外的信息链路。
如果有机会,不要将敏感数据发送给聊天机器人,而是要求一个安全的公司电子邮件地址。
(全文结束)
