超过300万条记录、12TB数据在重大应用程序构建器漏洞中被泄露

一家名为 Passion.io 的主要无代码应用开发平台遭遇数据泄露。该公司运营的一个数据库没有受到密码保护，导致数百万条记录、总计约 12TB 的敏感数据暴露在网上。

安全研究员 Jeremiah Fowler 发现了这个数据库并向 vpnMentor 报告。该数据库包含 3,637,107 条记录，总大小为 12.2TB。Passion.io 是一家总部位于特拉华州的无代码应用构建平台，旨在帮助创作者、网红、企业家和教练无需编程知识即可创建网站和销售互动课程。

据 Fowler 称，他分析了“有限的暴露文档样本”，发现了标有“用户”和“发票”的内部文件、图片和电子表格文档。这些文件包含用户的姓名、电子邮件地址、邮政地址，以及关于用户和应用创建者的支付或收款详情。

此类信息对网络犯罪分子来说是宝贵的财富。他们可以利用这些信息制作具有说服力的网络钓鱼邮件，诱骗 Passion.io 的用户做出仓促、危险的决定。除了网络钓鱼，这些数据还可能被用于身份盗窃、电汇诈骗和其他类型的骗局。

研究人员已通知 Passion.io 其发现，并于当天收到了回复。该数据库已被锁定，公司也证实正在采取保护措施，以避免此类事件再次发生。

Passion.io 向 Fowler 表示：“我们正在非常严肃地处理此事，并迅速采取行动。”

目前，没有证据表明这些信息正在暗网上传播，也尚不清楚该数据库是由 Passion.io 直接管理，还是外包给了第三方。在进行彻底调查之前，无法得知该数据库已开放多长时间，也无法确定是否有任何威胁行为者已发现它。虽然数据库已被锁定，但用户仍需谨慎。