Ошибка в базе данных компании Evisort раскрыла конфиденциальные данные клиентов
Компания по управлению документами и контрактами Evisort оставила одну из своих баз данных документов незащищенной, обнародовав данные клиентов. Базу данных уже отключили.
Стартап, основанный бывшими студентами Гарварда и Массачусетского технологического института в 2016 году, позиционирует себя как компания по управлению контрактами в области искусственного интеллекта. Она помогает лучше организовать юридические документы и контракты своих клиентов. Об этом сообщает Информатор Tech, ссылаясь на TechCrunch. В качестве примера удобства их сервиса стоит сказать, что компания может оценить и вытащить наиболее актуальную информацию из 30-страничного контракта в считанные секунды. Инвесторы до сих пор высоко ценят проект с начальным финансированием 4,5 миллионов долларов, во главе которого стоят Village Global и Amity Ventures при участии Accenture и SAP.
Однако оказалось, что компания оставила базу данных Elasticsearch открытой без пароля, что позволяло любому желающему просматривать файлы внутри базы. Исполнительный директор Evisort Джерри Тинг сказал, что база данных «предназначена только для тестирования и разработки», и в настоящее время проводится аудит. И в то время, как некоторые документы были помечены как «фиктивные» и «тестовые», многие файлы содержали данные клиентов. «Это конфиденциальные соглашения между многими известными крупными компаниями, которые размещены в интернете для всех желающих», - сказал анонимный консультант, который нашел много рассекреченных файлов.
Среди клиентов компании есть такие, как Stack Overflow и TravelZoo. База данных также содержала соглашения о неразглашении между Evisort и Samsung. Аналогичное соглашение с Squarespace, найденным в базе данных, было подписано Тингом. Многие из файлов включали в себя контракты с сотрудниками, кредитные соглашения (одно даже на сумму 200 миллионов долларов) и резюме. Стоит отметить, что не все люди, которые указаны в материалах, знают, как их резюме попало базу данных Evisort. Многие из документов содержали конфиденциальную информацию. Однако Evisort уже скрыл базу данных.
Также в одном файле содержалась информация о соглашении между Evisort и сторонней компанией по безопасности от 21 февраля о проведении теста на проникновение в сеть компании с целью обнаружения и исправления уязвимостей безопасности. А уже 22 марта стало известно об открытой базе данных. Спустя время в электронном письме Тинг признал, что некоторые данные клиентов были раскрыты: «База данных не является частью нашей производственной среды, но является частью нашей внутренней среды разработки, используемой нашими инженерами», - сказал он.
«Хотя наше расследование продолжается, подавляющее большинство информации, содержащейся в базе данных разработки, было ненастоящей информацией, используемой для целей тестирования», - продолжил Тинг. «Однако, похоже, что в этой среде может быть небольшое количество подлинных документов». В Evisort пообещали провести расследование и установить, были ли какие-то настоящие документы в раскрытой базе данных.
Раннее мы сообщали о том, что в сети обнаружили незащищенные базы данных пользователей интернет-магазина GearBest. Под угрозой оказались 1,5 миллиона записей. Также обнаружена база данных с более чем 800 миллионов адресов электронной почты и других записей.