Blisk浏览器开发商曝出数据泄漏事件
近日,一家知名浏览器的开发商不小心将一台没有密码的Elasticsearch服务器暴露在互联网上,泄露了大量用户数据。
泄漏发生在爱沙尼亚的Blisk公司,该公司旗下主要产品是同名的Blisk浏览器。
Blisk是为web和app开发社区量身定做的一个基于chrome的浏览器,它支持增强开发工具、设备预览功能和项目协作工具。
该浏览器于2016年5月推出,在web开发市场上赢得了不少追随者。Blisk在其官方网站上表示,它的浏览器被4万多家公司使用,其中包括惠普、施乐、美国国家航空航天局、联合国儿童基金会、Deloitte、欧足联、Vice News和Pandora等知名公司。
在去年12月,该公司出现过了一次意外数据泄露。2019年12月2日,vpnMentor的两名研究人员Noam Rotem和Ran Locar在公网上发现了一个属于该公司的Elasticsearch服务器。
在本周与ZDNet独家分享的一份报告中,vpnMentor的研究人员表示,他们发现了数千名在Blisk网站/浏览器上注册提交了个人资料的web开发人员的隐私信息。
他们总共在其中发现了290万条记录,大约有3.4GB。
这些数据似乎和开发人员在浏览器内进行的操作行为有关,比如注册资料或邀请朋友。
而该服务器泄露的个人信息包括电子邮件地址和user-agent
。
vpnMentor表示,该公司于12月4日通知了Blisk,很快在次日之前,服务器缺陷已被修复。
昨天在一封电子邮件中,Blisk团队确认了泄漏事件,并表示尽管某些数据被泄露,但并没有涉及过于敏感信息,如密码、财务信息或个人身份信息等。诸如计费信息和电话号码等并没有在该服务器上存储。
不过,vpnMentor声称,如果攻击者非法得到了这些数据,那么还是会带来一定的安全威胁。
这些数据或许可以用来针对在某些公司工作的开发人员,并根据user-agent
字段定制有针对性的恶意软件。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/browser-vendor-leaks-data-via-open-server/
最新评论