Blisk浏览器开发商曝出数据泄漏事件

近日，一家知名浏览器的开发商不小心将一台没有密码的Elasticsearch服务器暴露在互联网上，泄露了大量用户数据。

泄漏发生在爱沙尼亚的Blisk公司，该公司旗下主要产品是同名的Blisk浏览器。

Blisk是为web和app开发社区量身定做的一个基于chrome的浏览器，它支持增强开发工具、设备预览功能和项目协作工具。

该浏览器于2016年5月推出，在web开发市场上赢得了不少追随者。Blisk在其官方网站上表示，它的浏览器被4万多家公司使用，其中包括惠普、施乐、美国国家航空航天局、联合国儿童基金会、Deloitte、欧足联、Vice News和Pandora等知名公司。

在去年12月，该公司出现过了一次意外数据泄露。2019年12月2日，vpnMentor的两名研究人员Noam Rotem和Ran Locar在公网上发现了一个属于该公司的Elasticsearch服务器。

在本周与ZDNet独家分享的一份报告中，vpnMentor的研究人员表示，他们发现了数千名在Blisk网站/浏览器上注册提交了个人资料的web开发人员的隐私信息。

他们总共在其中发现了290万条记录，大约有3.4GB。

这些数据似乎和开发人员在浏览器内进行的操作行为有关，比如注册资料或邀请朋友。

而该服务器泄露的个人信息包括电子邮件地址和user-agent。

vpnMentor表示，该公司于12月4日通知了Blisk，很快在次日之前，服务器缺陷已被修复。

昨天在一封电子邮件中，Blisk团队确认了泄漏事件，并表示尽管某些数据被泄露，但并没有涉及过于敏感信息，如密码、财务信息或个人身份信息等。诸如计费信息和电话号码等并没有在该服务器上存储。

不过，vpnMentor声称，如果攻击者非法得到了这些数据，那么还是会带来一定的安全威胁。

这些数据或许可以用来针对在某些公司工作的开发人员，并根据user-agent字段定制有针对性的恶意软件。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/browser-vendor-leaks-data-via-open-server/