Dette er hva som skjer når en sprintentreprenør eksponerer AT&T-, T-Mobile- og Verizon-regninger

Sprint Contractor Data Leak

Deardorff Communications, et markedsførings- og kommunikasjonsselskap med base i Georgia, forteller at teamet er svært erfaren innen en rekke felt, inkludert strategisk planlegging, på sin hjemmeside (som på et ikke-relatert notat er lastet gjennom HTTP, og ikke HTTPS). salg, reklame, etc. Dessverre, når det gjelder konfigurering av Amazon Web Service lagringsbøtter, mangler ekspertisen deres litt.

En Deardorff-ansatt la litt over en kvart million dokumenter i en Amazon S3-bøtte, klarte ikke å angi et passord og glemte å endre tilgjengelighetsinnstillingene fra "offentlig" til "privat". Som et resultat kan bøtten, sammen med alle filene i den, vises fra hvor som helst i verden. Ikke overraskende, på et tidspunkt, forskere fra et penetrasjonstestingfirma kalt Fidus Information Security, de samme menneskene som avslørte en sikkerhetsfeil i Vatikanets nye eRosary samt en datalekkasje av Magic: The Gatherings forlag, endte opp med å se på Deardorffs bøtte.

Telefonregninger og rikelig med sensitiv informasjon utelatt i det fri

Det var litt over 260 tusen dokumenter i bøtta, og flertallet av dem var mobiltelefonregninger som tilhørte abonnenter av AT&T, T-Mobile og Verizon. Deardorff samlet alle disse filene fordi Sprint, en av deres største kunder, ønsket å overtale abonnenter til å bytte leverandør av mobiltelefon. I følge et av dokumentene var Sprint til og med forberedt på å betale de tidlige avslutningsgebyrene, bare for å sikre at flere bruker tjenestene sine.

Selve telefonregningene avslører ganske mye personlig informasjon og kontaktinformasjon, og de inneholder ofte samtalelogger, som noen sannsynligvis foretrekker å ikke dele med resten av verden. I tillegg til alt dette fant forskerne også en kontoutskrift og et skjermbilde som avdekket brukernavn, passord og PIN-koder på nettet til et ukjent antall abonnenter.

Først var det ikke klart hvem som hadde utsatt dataene. Rett etter å ha funnet bøtta, varslet ekspertene Amazon, som kom i kontakt med dataens eier og fikk den tatt offline. Av juridiske grunner nektet Amazon imidlertid å fortelle Fidus som var ansvarlig for lekkasjen.

Dataene ble imidlertid delt med Zack Whittaker fra TechCrunch, som kjørte noen av filene gjennom en metadataskontroller og fikk vite at de sannsynligvis var eid av Deardorff. Jeff Deardorff, markedsselskapets president, innrømmet at en av hans ansatte var ansvarlig for lekkasjen og lovet at han ville gjøre det han kan for å finne ut hva som gikk galt og hva som kan gjøres for å forhindre lignende hendelser i fremtiden.

Datalekkasjer som dette er altfor vanlig

Noen av dere kan kanskje si at dette er langt fra den mest forferdelige datasikkerhetshendelsen, og at mange andre dokumenter kan være langt farligere. En rask titt på den siste vanlige telefonregningen din avslører imidlertid at det som ser ut som et uskyldig stykke papir faktisk inneholder informasjon som lett kan føre til identitetstyveri. I dette spesielle tilfellet avslørte Deardorff også abonnentens passord og PIN-nummer, noe som øker risikoen for angrep som SIM-bytte og påleggsinformasjon.

Det virkelige problemet er at lignende lekkasjer skjer på daglig basis. Oftere enn ikke er de forårsaket av lett unngåelige og ganske enkle konfigurasjonsfeil, men mangel på utdanning gjør at IT-folk ikke vet hva de skal gjøre når de får i oppgave å lagre brukernes data på en sikker måte.

Deardorff sa ikke når bøtta først ble åpnet for publikum, og ingen kan bekrefte om nettkriminelle klarte å komme til den før den ble tatt offline. Zack Whittaker ba AT&T, Verizon og T-Mobile om ytterligere kommentarer, men han fikk ikke noe vesentlig, mest sannsynlig fordi de tre telekommunikasjonsleverandørene rett og slett ikke har noe å legge til. Resultatet er at vi ikke vet hvor mange som potensielt ble påvirket av lekkasjen, noe som betyr at hvis du er en AT&T-, Verizon- eller T-Mobile-abonnent, eller hvis du har byttet fra dem til Sprint, kan det være lurt å pass på for tegn på svindel eller identitetstyveri.

December 6, 2019

Legg igjen et svar