合同初创公司Evisort的安全失效暴露了敏感数据

 
据悉，文档和合同管理公司Evisort将其中一个文档数据库置于无担保状态，从而暴露了客户数据。
该创业公司由前哈佛大学和麻省理工学院的学生于2016年创立，自称是一家人工智能合同管理公司，该公司称其有助于更好地组织客户的法律文件和合同。在其声明中，该公司可以在几秒钟内评估并提取30页合同中最相关的信息。到目前为止，投资者喜欢这个投资，获得由Village Global和Amity Ventures领导的450万美元的种子基金，以及埃森哲和SAP的参与。
根据发送到TechCrunch的匿名提示，该公司在没有密码的情况下打开了Elasticsearch数据库，允许任何人搜索内部文件。到达时，Evisort的首席执行官Jerry Ting表示，该数据库“仅用于测试和开发目的”，并且正在进行审计。
虽然一些文档被标记为“虚拟”和“测试”文件，但TechCrunch看到的许多文档都包含客户数据。
“这些是许多已建立的大型知名公司之间的保密协议，这些公司在互联网上托管供任何人查看，”这位匿名提示人说，他提供了数据库中几个文件的链接。
该公司将Stack Overflow和TravelZoo列为客户。该数据库还包含Evisort和三星之间的保密协议。 Ting在数据库中找到了与Squarespace类似的协议。
许多文件包括员工合同，贷款协议(一个价值2亿美元)和简历。我们联系了几位在数据库中找到其信息的人。我们采访过的一个人说他们不知道他们的简历如何进入Evisort的数据库。其他文件似乎是Evisort客户提交的合同和协议。
我们看到的许多文件都有机密信息。
另一份文件载有Evisort和第二方安全公司于2月21日签署的协议细节，以便对其网络进行渗透测试 – 这是一种在漏洞被利用之前查找和修复安全漏洞的方法。
Evisort在TechCrunch延伸一小时内关闭了数据库。
在后续电子邮件中，丁承认有些客户数据暴露无遗。 (Ting宣布他的电子邮件“不在记录中”，这要求双方事先同意这些条款，但我们正在打印答复，因为我们没有机会拒绝。)
“数据库不是我们生产环境的一部分，而是我们工程师使用的内部开发环境的一部分，”他说。
“尽管我们正在进行调查，但开发数据库中包含的绝大多数信息都是用于测试目的的占位符或良性信息，”他在电子邮件中说。 “但是，在这种环境下似乎可能会有少量合法文件。”
“作为我们调查的一部分，我们将审查环境中的整个数据集以及任何可用的日志记录数据，以确定哪些信息可能受到影响，我们将直接与可能受影响的任何客户进行沟通， “ 他加了。
Ting补充说，该公司“正在保留”一家外部法证公司来评估对客户的影响。
Evisort没有透露数据暴露多久。数据搜索引擎Binary Edge于3月22日首次检测到系统。
这是最近几个月大量数据曝光中的最新一次，包括短信，医疗记录，高风险个人观察名单，抢劫公司，数百万抵押和贷款文件，甚至垃圾邮件操作。