暴露的服务器未设密码致浏览器供应商泄漏了290万条数据

浏览器供应商无意中使没有密码的Elasticsearch服务器暴露在互联网上后泄露了用户数据。

泄漏发生在爱沙尼亚的Blisk公司，该公司开发了同名的Blisk浏览器。

Blisk浏览器是专为Web和应用程序开发社区量身定制的基于Chromium的分支，并支持增强的开发人员工具，设备预览功能和项目协作工具。

该浏览器于2016年5月发布，在Web开发市场上赢得了关注。Blisk在其网站上表示，其浏览器已有40,000多家公司使用，其中包括惠普，施乐，NASA，联合国儿童基金会，德勤，UEFA，Vice News和Pandora等知名公司。

去年12月，该公司意外数据泄露。在2019年12月2日，两名vpnMentor研究人员Noam Rotem和Ran Locar发现了属于该公司的Elasticsearch服务器，该服务器意外地被暴露在网上。

在本周独家与ZDNet共享的一份报告中，vpnMentor研究人员表示，他们发现了成千上万在Blisk网站/浏览器中注册了个人资料的Web开发人员的个人详细信息。

他们总共发现了290万条记录，总计3.4 GB数据，这些数据仍处于在线状态。

数据似乎是开发人员在浏览器中进行的操作的日志条目，例如注册个人资料或邀请朋友。

通过暴露的服务器泄露的个人详细信息包括电子邮件地址和用户代理字符串。

图像：vpnMentor（提供）

vpnMentor表示，它已于12月4日通知Blisk，这家浏览器制造商已在第二天保护了服务器。

Blisk小组在昨天的一封电子邮件中确认了泄漏，并表示尽管存在错误，但泄漏并未导致敏感信息（例如密码，财务信息或个人身份信息（PII））（例如名称，帐单）被公开。

但是，vpnMentor声称，如果在服务器暴露的时间段内有人确实掌握了数据，那么数据可能会对攻击者具有一定的操作价值。

该数据可用于定位为私营公司工作的开发人员，并根据其用户代理字符串（包括平台详细信息）定制漏洞利用和恶意软件。