Sprintの請負業者がAT&T、T-Mobile、およびVerizonの請求書を公開する場合の動作を次に示します
ジョージア州に本拠を置くマーケティングおよび通信会社であるDeardorff Communicationsは、 Webサイト (HTTPSではなく、HTTPを介して読み込まれます)で、チームは戦略計画を含むさまざまな分野で非常に経験豊富であると述べています。残念ながら、アマゾンウェブサービスのストレージバケットの設定に関しては、専門知識が少し不足しています。
Deardorffの従業員がAmazon S3バケットに25万件を少し超えるドキュメントを入れ、パスワードの設定に失敗し、アクセシビリティ設定を「パブリック」から「プライベート」に変更するのを忘れていました。その結果、バケットとその中のすべてのファイルを、世界中のどこからでも見ることができました。驚くことではないが、ある時点で、バチカンの新しいeRosaryのセキュリティ欠陥とMagic:The Gatheringの発行者によるデータ漏洩を明らかにした Fidus Information Securityと呼ばれる侵入テスト会社の研究者がDeardorffのバケツを見た。
電話代と大量の機密情報が公開されていない
バケットには26万件強のドキュメントがあり、その大半はAT&T、T-Mobile、およびVerizonの加入者に属する携帯電話の請求書でした。 Deardorffがこれらのファイルをすべて収集したのは、最大の顧客の1つであるSprintが携帯電話サービスプロバイダーを変更するように加入者を説得したかったためです。文書の1つによると、Sprintは、より多くの人がそのサービスを使用できるようにするためだけに、早期終了料金を支払う用意さえありました。
電話の請求書自体は非常に多くの個人情報と連絡先の詳細を明らかにします。また、多くの場合、コールログが含まれています。このすべてに加えて、研究者は、銀行の明細書とスクリーンショットを見つけ、未知の数の加入者のオンラインのユーザー名、パスワード、およびPINを明らかにしました。
最初は、誰がデータを公開したかは明確ではありませんでした。バケットを見つけて間もなく、専門家はAmazonに通知し、Amazonはデータの所有者と連絡を取り、オフラインにしました。ただし、法律上の理由により、Amazonは、Fidusに漏えいの責任者を伝えることを拒否しました。
ただし、データはTechCrunchのZack Whittakerと共有され、 Zack Whittakerはファイルの一部をメタデータチェッカーを介して実行し、おそらくDeardorffが所有していることを知りました。マーケティング会社の社長であるジェフ・ディアドルフは、従業員の1人がリークの責任を負っていることを認め、何が間違っていたのか、将来同様の事件を防ぐために何ができるのかを理解するために彼ができることをすることを約束しました。
このようなデータリークはあまりにも一般的です
これは最も恐ろしいデータセキュリティインシデントからはほど遠い、他の多くのドキュメントははるかに危険であると言う人もいるかもしれません。ただし、最新の通常の電話代をざっと見てみると、無害な紙のように見えるものには、個人情報の盗難につながりやすい情報が実際に含まれていることがわかります。この特定のケースでは、Deardorffは加入者のパスワードとPIN番号も明らかにしたため、 SIMスワッピングや資格情報の詰め込みなどの攻撃のリスクが高まります 。
本当の問題は、同様のリークが毎日発生することです。多くの場合、それらは簡単に回避可能で非常に単純な構成ミスによって引き起こされますが、教育の欠如は、ユーザーのデータを安全に保存するタスクを担当しているITスタッフが何をすべきかを知らないことを意味します。
Deardorffは、バケツが最初に公開されたときは言わなかったし、サイバー犯罪者がそれがオフラインになる前にどうにか到達したかどうかは誰も確認できない。 Zack WhittakerはAT&T、Verizon、およびT-Mobileにさらなるコメントを求めましたが、3つの通信プロバイダーが単に追加するものがないため、実質的なものは何も受け取りませんでした。つまり、リークの影響を受ける可能性のある人の数はわかりません。つまり、AT&T、Verizon、またはT-Mobileの加入者である場合、またはスプリントからスプリントに切り替えた場合は、詐欺や個人情報の盗難の兆候に注意してください。