Här är vad som händer när en sprintentreprenör exponerar AT&T-, T-Mobile- och Verizon-räkningar
Deardorff Communications, ett marknadsförings- och kommunikationsföretag baserat i Georgien, säger på sin webbplats (som på obestämd not laddas via HTTP och inte HTTPS) att dess team är mycket erfaren inom olika områden, inklusive strategisk planering, försäljning, reklam etc. Tyvärr, när det gäller att konfigurera Amazon Web Service lagringsskopor, saknas deras expertis lite.
En Deardorff-anställd placerade drygt en fjärdedel av en miljon dokument i en Amazon S3-hink, misslyckades med att ställa in ett lösenord och glömde att ändra tillgänglighetsinställningarna från "offentlig" till "privat". Som ett resultat kunde skopan, tillsammans med alla filer i den, ses överallt i världen. Inte överraskande, vid en tidpunkt, forskare från ett penetrationstestföretag som heter Fidus Information Security, samma personer som avslöjade en säkerhetsbrist i Vatikanets nya eRosary samt en dataläckage av Magic: The Gatherings förläggare, slutade titta på Deardorffs hink.
Telefonräkningar och massor av känslig information som lämnas utomhus
Det fanns drygt 260 tusen dokument i hinken, och majoriteten av dem var mobiltelefonräkningar som tillhörde AT&T, T-Mobile och Verizon-abonnenter. Deardorff samlade alla dessa filer eftersom Sprint, en av deras största kunder, ville övertyga prenumeranter att byta ut sin mobiltelefonleverantör. Enligt ett av dokumenten var Sprint till och med beredd att betala de tidiga uppsägningsavgifterna bara för att säkerställa att fler använder sina tjänster.
Själva telefonräkningarna avslöjar en hel del personlig information och kontaktinformation, och de innehåller ofta samtalsloggar, som vissa människor förmodligen föredrar att inte dela med resten av världen. Utöver allt detta hittade forskarna också ett kontoutdrag och en skärmdump som avslöjade online-användarnamn, lösenord och PIN-koder för ett okänt antal prenumeranter.
Till en början var det inte klart vem som hade exponerat uppgifterna. Strax efter att ha hittat hinken, meddelade experterna Amazon, som kom i kontakt med dataägaren och hade tagit den offline. Av juridiska skäl vägrade Amazon emellertid berätta för Fidus som var ansvarig för läckan.
Uppgifterna delades dock med Zack Whittaker från TechCrunch, som körde några av filerna genom en metadataskontrollare och fick veta att de antagligen ägs av Deardorff. Jeff Deardorff, marknadsföringsföretagets president, medgav att en av hans anställda var ansvarig för läckan och lovade att han skulle göra vad han kan för att ta reda på vad som gick fel och vad som kan göras för att förhindra liknande incidenter i framtiden.
Dataläckage som detta är alldeles för vanliga
Vissa av er kan säga att detta är långt ifrån den mest fruktansvärda händelsen för datasäkerhet och att många andra dokument kan vara mycket farligare. En snabb titt på din senaste vanliga telefonräkning avslöjar emellertid att det som ser ut som ett oskyldigt papper faktiskt innehåller information som lätt kan leda till identitetsstöld. I detta fall avslöjade Deardorff också prenumerantens lösenord och PIN-nummer, vilket ökar risken för attacker som SIM-byte och referensstoppning.
Det verkliga problemet är att liknande läckor sker dagligen. Oftast orsakas de av lätt undvikbara och ganska enkla konfigurationsfel, men brist på utbildning innebär att IT-människor inte vet vad de ska göra när de får i uppgift att lagra användarnas data på ett säkert sätt.
Deardorff sa inte när hinken först öppnades för allmänheten, och ingen kan bekräfta om cyberbrottslingar lyckades komma till den innan den togs offline. Zack Whittaker bad AT&T, Verizon och T-Mobile om ytterligare kommentarer, men han fick inget väsentligt, troligen för att de tre telekommunikationsleverantörerna helt enkelt inte har något att lägga till. Resultatet är att vi inte vet hur många som potentiellt påverkades av läckan, vilket innebär att om du är en AT&T-, Verizon- eller T-Mobile-abonnent eller om du har bytt från dem till Sprint, kanske du vill se upp för tecken på bedrägeri eller identitetsstöld.
