Oto, co się dzieje, gdy kontrahent Sprint ujawnia rachunki AT&T, T-Mobile i Verizon

Na swojej stronie internetowej (które, na niepowiązanych notatki, ładowany jest poprzez HTTP, a nie HTTPS), Deardorff Communications, firma marketingu i komunikacji z siedzibą w Gruzji, mówi, że jego zespół jest bardzo duże doświadczenie w różnych dziedzinach, w tym planowania strategicznego, sprzedaż, reklama itp. Niestety, jeśli chodzi o konfigurowanie segmentów pamięci masowej Amazon Web Service, brakuje im trochę wiedzy.

Pracownik Deardorff umieścił nieco ponad ćwierć miliona dokumentów w wiadrze Amazon S3, nie ustawił hasła i zapomniał zmienić ustawienia dostępności z „publicznego” na „prywatny”. W rezultacie wiadro wraz ze wszystkimi zawartymi w nim plikami można było oglądać z dowolnego miejsca na świecie. Nic dziwnego, że w pewnym momencie badacze z firmy zajmującej się testami penetracyjnymi o nazwie Fidus Information Security, ci sami ludzie, którzy ujawnili lukę w zabezpieczeniach w nowym eRosary Watykanu, a także wyciek danych przez wydawcę Magic: The Gathering, w końcu spojrzeli na wiadro Deardorffa.

Rachunki za telefon i wiele poufnych informacji pozostawionych na zewnątrz

W wiadrze było nieco ponad 260 tysięcy dokumentów, a większość z nich to rachunki za telefony komórkowe należące do abonentów AT&T, T-Mobile i Verizon. Deardorff zebrał wszystkie te pliki, ponieważ Sprint, jeden z ich największych klientów, chciał przekonać abonentów do zmiany dostawcy usług telefonii komórkowej. Według jednego z dokumentów Sprint był nawet przygotowany na uiszczenie opłat za wcześniejsze rozwiązanie umowy, aby zapewnić, że więcej osób korzysta z jego usług.

Same rachunki za telefon ujawniają sporo danych osobowych i danych kontaktowych, a także często zawierają dzienniki połączeń, których niektórzy prawdopodobnie wolą nie udostępniać reszcie świata. Oprócz tego wszystkiego naukowcy znaleźli również wyciąg bankowy i zrzut ekranu, który ujawnił nazwy użytkowników online, hasła i kody PIN nieznanej liczby subskrybentów.

Na początku nie było jasne, kto ujawnił dane. Krótko po znalezieniu wiadra eksperci powiadomili Amazon, który skontaktował się z właścicielem danych i przełączył go w tryb offline. Jednak ze względów prawnych Amazon odmówił poinformowania Fidusa, który był odpowiedzialny za wyciek.

Dane zostały jednak udostępnione Zackowi Whittakerowi z TechCrunch, który przeprowadził niektóre pliki za pomocą narzędzia do sprawdzania metadanych i dowiedział się, że prawdopodobnie jest własnością Deardorffa. Jeff Deardorff, prezes firmy marketingowej, przyznał, że jeden z jego pracowników był odpowiedzialny za wyciek i obiecał, że zrobi wszystko, co w jego mocy, aby dowiedzieć się, co poszło nie tak i co można zrobić, aby zapobiec podobnym incydentom w przyszłości.

Takie wycieki danych są zbyt częste

Niektórzy z was mogą powiedzieć, że jest to dalekie od najbardziej przerażającego incydentu w zakresie bezpieczeństwa danych i że wiele innych dokumentów może być znacznie bardziej niebezpiecznych. Szybkie spojrzenie na twój ostatni regularny rachunek telefoniczny ujawnia jednak, że coś, co wygląda jak nieszkodliwy kawałek papieru, faktycznie zawiera informacje, które mogą łatwo doprowadzić do kradzieży tożsamości. W tym konkretnym przypadku Deardorff ujawnił również hasła subskrybentów i numery PIN, co zwiększa ryzyko ataków, takich jak zamiana karty SIM i upychanie danych uwierzytelniających.

Prawdziwy problem polega na tym, że podobne wycieki zdarzają się codziennie. Najczęściej są one spowodowane łatwymi do uniknięcia i dość prostymi błędami konfiguracji, ale brak wykształcenia oznacza, że informatycy nie wiedzą, co robić, gdy mają za zadanie bezpieczne przechowywanie danych użytkowników.

Deardorff nie powiedział, kiedy wiadro zostało po raz pierwszy otwarte dla publiczności, i nikt nie może potwierdzić, czy cyberprzestępcy zdołali się do niego dostać, zanim został wyłączony. Zack Whittaker poprosił AT&T, Verizon i T-Mobile o dalsze uwagi, ale nie otrzymał nic znaczącego, najprawdopodobniej dlatego, że trzech dostawców usług telekomunikacyjnych po prostu nie ma nic do dodania. Rezultatem jest to, że nie wiemy, ile osób potencjalnie ucierpiał z powodu wycieku, co oznacza, że jeśli jesteś subskrybentem AT&T, Verizon lub T-Mobile lub jeśli przełączyłeś się z nich na Sprint, możesz chcieć uważaj na wszelkie oznaki oszustwa lub kradzieży tożsamości.