关注公众号网络研究观，获取更多内容。 

三国最大的汽车经销商 Van Mossel 和其他公司利用一家鲜为人知的数据分析公司来训练人工智能模型，从而将客户数据泄露给互联网上的任何人。

2 月 1 日，我们的研究团队发现数据收集和分析公司 Rawdamental 的系统存在令人担忧的错误配置，导致个人数据泄露。

尽管 Rawdamental 无法在荷兰公司注册簿中找到，但其服务已被众多荷兰公司使用。

发现的安全事件影响了十家可能使用数据收集服务的公司的用户，其中包括跨国汽车经销商 Van Mossel，该公司拥有近 7,000 名员工。

受泄漏影响的公司：

汽车经销商——Van Mossel

软件公司——Simpul.nl 和 Divtag.nl

摩托车零部件市场 – Motorparts-online.com

营销机构——InovaMedia

烟花零售商 – Vuurwerkbestel.nl

室内装饰零售商 – Oletti.nl

圣诞礼物服务 – Kerstpakkettenexpress.nl 和 kerstcomplimenten.nl

荷兰赛车运动粉丝俱乐部 – Ttassen-fanbase.com

收集的用户数据旨在为 Rawdamental 的客户提供训练 AI 模型预测用户行为的起始数据集。

虽然使用企业 AI 模型的道德问题值得商榷，但目前的数据泄露表明，此类服务的安全性仍然非常模糊。

我们的调查确定，泄漏是由于该公司的 Kibana 仪表板缺少身份验证造成的 - Kibana 是一种用于搜索、可视化和分析存储数据的流行在线工具。

缺少的身份验证并未引起注意，导致数据自 2021 年 12 月起可供公众访问。

该公司尚未回应 Cybernews 或荷兰计算机应急响应小组 (CERT) 的联系尝试。

就在文章发表之前，研究人员注意到该公司已经关闭了该实例。

受影响域名的仪表板

利用私人数据训练人工智能模型

Rawdamental 的商业模式是收集大量数据，为客户创建独特的网站访客档案。通过收集点击流数据，该公司收集了大量有关用户旅程和行为的数据，这些数据随后可供公司用于训练他们的人工智能模型，Rawdamental 网站声称。

泄露的 IP、用户代理和指纹

使用这样的数据集来训练人工智能是危险的。我们对泄露的交通数据进行调查发现，收集的数据中包括用户的私人信息。用私人数据训练的模型可能会在未经用户同意的情况下泄露敏感信息。

Cybernews 安全研究员 Aras Nazarovas 表示：“这是工作场所中 AI 工具的一个众所周知的风险，这导致多个组织禁止使用这些工具，担心敏感的公司信息可能会泄露给工具的操作员。这次泄密也提醒人们，传统的在线工具也存在这样的风险。”

泄露的网络流量包括：

用户 IP 地址

访问的 URL

访问过的页面标题

用户代理

在某些情况下，用户名和他们一直在从事的项目

根据不同类型的元数据创建的唯一用户标识符

未能匿名化用户数据

除了明显的网络安全漏洞导致数据泄露并为威胁行为者创造宝库之外，另一个主要问题是该公司对用户数据的匿名化处理不佳。

Cybernews 安全研究员 Nazarovas 表示：“对于 Rawdamental 这样的服务来说，匿名化用户数据至关重要。尽管该公司有意匿名化用户数据，但调查显示，他们未能预见到所有潜在情况。”

要求披露个人和项目信息

一个例子涉及该公司的客户平台，这些平台很可能专门用于会计。一些平台在网站的标题标签中显示个人身份信息，例如姓名和项目，该标签出现在浏览器选项卡名称中。

Rawdamental 未针对此类情况实施安全措施，因此收集了敏感的用户数据。此外，收集的数据中还包含用户 IP 地址，这表明未能完全匿名化数据集。

除 Van Mossel 外，大多数受影响的服务均未披露用于跟踪和指纹识别目的的第三方 cookie。

公司隐私政策的模糊性使用户不清楚他们的个人信息是否会与 Rawdamental 等第三方服务共享。

---

听说关注公众号的人都变牛了，快来体验吧 !