1 बिलियन डॉलर मूल्य वाले कानूनी AI टूल की रिवर्स इंजीनियरिंग के बाद 100,000 से अधिक गोपनीय फ़ाइलें एक्सपोज़

 (alexschapiro.com)
2 पॉइंट द्वारा GN⁺ 2025-12-04 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • कानूनी AI प्लेटफॉर्म Filevine के API का विश्लेषण करते समय बिना authentication के पूर्ण admin अधिकार देने वाली एक गंभीर सुरक्षा खामी सामने आई।
  • शोधकर्ता ने subdomain enumeration की मदद से margolis.filevine.com subdomain खोजा और AWS API endpoint पहचानकर परीक्षण request भेजी।
  • एक साधारण POST request पर authentication token के बिना response मिला, जिसमें Box फ़ाइल सिस्टम पर पूर्ण admin access देने वाला टोकन मौजूद था।
  • इसी token की मदद से लगभग 100,000 “confidential” दस्तावेज़ खोजे जा सके, जिनमें healthcare, legal और payroll जैसे अत्यधिक संवेदनशील डेटा मौजूद था।
  • Filevine ने रिपोर्ट के बाद तत्काल प्रतिक्रिया और फिक्स जारी की, और यह घटना AI-आधारित कानूनी सेवाओं में सुरक्षा प्रबंधन के महत्व को स्पष्ट करती है।

खामी खोजने और सार्वजनिक करने की टाइमलाइन

  • शोधकर्ता ने 27 अक्टूबर 2025 को Filevine की security टीम को ईमेल द्वारा खामी की सूचना दी।
    • 4 नवंबर 2025: Filevine ने समस्या को स्वीकार कर तेज़ फिक्स प्लान भेजा।
    • 20 नवंबर 2025: शोधकर्ता ने patch लागू होने की पुष्टि की और तकनीकी ब्लॉग पर पोस्ट करने की सूचना दी।
    • 21 नवंबर 2025: Filevine ने सुधार पूरा होने की पुष्टि की और शोधकर्ता का धन्यवाद किया।
    • 3 दिसंबर 2025: तकनीकी ब्लॉग पोस्ट प्रकाशित।
  • Filevine ने पूरी प्रक्रिया में तेज़ और प्रोफेशनल प्रतिक्रिया दी, इसलिए इसे जिम्मेदार security disclosure का एक मॉडल केस माना गया।

Filevine और कानूनी AI मार्केट का संदर्भ

  • Filevine एक 1 बिलियन डॉलर से अधिक मूल्यांकन वाला कानूनी AI प्लेटफॉर्म है, जो तेजी से बढ़ रहा है।
  • कानूनी फर्म इस प्लेटफॉर्म पर बहुत अधिक गोपनीय डेटा अपलोड करके अपना काम संभालती हैं।
  • शोधकर्ता, Yale Law School के एक पूर्व प्रोजेक्ट अनुभव के आधार पर, Filevine की डेटा सुरक्षा संरचना की समीक्षा करने के लिए प्रेरित हुआ।

रिवर्स इंजीनियरिंग की प्रक्रिया

  • Filevine के access controls के कारण शोधकर्ता ने सार्वजनिक डेमो वातावरण खोजने के लिए subdomain enumeration तकनीक अपनाई।
  • उसने margolis.filevine.com subdomain खोज तो लिया, लेकिन पेज लोड नहीं हुआ; इसलिए Chrome Developer Tools से नेटवर्क requests की जांच की।
  • JS फ़ाइल में POST await fetch(${BOX_SERVICE}/recommend) कोड मिला और BOX_SERVICE को AWS API endpoint पर सेट किया गया पाया।
  • {"projectName":"Very sensitive Project"} फॉर्मेट का request /prod/recommend पर भेजने पर, बिना authentication के response वापस मिला।

admin token के खुलासे का प्रभाव

  • response में Box API का व्यापक admin token (boxToken) शामिल था।
  • इस token से किसी विधि फर्म के पूरे internal Box फ़ाइल सिस्टम तक पहुँचा जा सकता था।
    • दस्तावेज़, logs, उपयोगकर्ता जानकारी आदि सभी डेटा तक एक्सेस मिल सकता था।
  • “confidential” keyword खोजने पर लगभग 100,000 परिणाम लौटते हुए देखे गए।
  • शोधकर्ता ने तुरंत परीक्षण रोककर Filevine को vulnerability रिपोर्ट की।
  • यदि कोई malicious attacker इस token का दुरुपयोग करता, तो HIPAA-protected दस्तावेज़, कोर्ट ऑर्डर दस्तावेज़, internal payroll डेटा जैसी जानकारी लीक हो सकती थी।

सुरक्षा से सीखे गए सबक

  • AI अपनाने की दौड़ में कंपनियों के लिए डेटा सुरक्षा फ्रेमवर्क को मजबूत करना अनिवार्य है।
  • खासकर कानून, स्वास्थ्य जैसे बहुत संवेदनशील क्षेत्रों की AI सेवाओं के लिए सख्त सुरक्षा verification जारी रखना होगा।
  • यह केस साफ दिखाता है कि AI-आधारित SaaS में authentication और authorization के विफल होने से कितना बड़ा risk पैदा हो सकता है।

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.