这是当Sprint承包商暴露AT&T,T-Mobile和Verizon Bills时发生的情况

Sprint Contractor Data Leak

总部位于佐治亚州的营销和传播公司Deardorff Communications在其网站上 (一个不相关的注解是通过HTTP而不是HTTPS加载的)表示,其团队在包括战略计划,销售,广告等。不幸的是,在配置Amazon Web Service存储桶时,他们缺乏专业知识。

Deardorff的一名员工将一百万个文档中的四分之一放在一个Amazon S3存储桶中,未能设置密码,并且忘记将可访问性设置从“公共”更改为“私有”。结果,可以从世界任何地方查看存储桶及其中的所有文件。毫不奇怪,有一次,来自一家名为Fidus Information Security的渗透测试公司的研究人员发现梵蒂冈的新eRosary 的安全漏洞以及Magic:The Gathering的发布者的数据泄漏 ,最终发现了Deardorff的存储桶。

电话费和大量敏感信息被遗漏在外

存储桶中有26万多份文档,其中大多数是属于AT&T,T-Mobile和Verizon订户的手机账单。 Deardorff收集了所有这些文件,因为他们最大的客户之一Sprint希望说服订户更改其手机服务提供商。根据其中一份文件,Sprint甚至准备支付提早终止费用,只是为了确保有更多人使用其服务。

电话账单本身会透露很多个人信息和联系方式,并且通常还包含通话记录,有些人可能不希望与世界其他地方共享。除了所有这些,研究人员还发现了银行对帐单和屏幕截图,其中显示了未知数量用户的在线用户名,密码和PIN。

起初,不清楚谁公开了数据。在找到存储桶后不久,专家通知了亚马逊,亚马逊与数据的所有者取得了联系并使其脱机。但是,出于法律原因,亚马逊拒绝告诉Fidus泄漏的责任人。

数据是与TechCrunch的Zack Whittaker共享的,后者通过元数据检查器运行了一些文件,并得知它可能是Deardorff所拥有。营销公司总裁杰夫·迪亚多夫(Jeff Deardorff)承认泄漏是由他的一名员工负责的,并承诺他将竭尽所能找出问题出在哪里,以及将来可以采取哪些措施来防止类似事件的发生。

这样的数据泄漏太普遍了

你们中的某些人可能说这绝不是最可怕的数据安全事件,而且许多其他文档可能更加危险。快速浏览一下您最近的常规电话账单,您会发现,看起来像一张无害的纸实际上包含的信息很容易导致身份盗用。在这种特殊情况下,Deardorff还泄露了订户的密码和PIN码,这增加了诸如SIM交换凭证填充之类的攻击风险。

真正的问题是每天都会发生类似的泄漏。通常,它们是由容易避免和相当简单的配置错误引起的,但是缺乏教育意味着IT人员在承担安全存储用户数据的任务时不知道该怎么办。

迪亚多夫没有透露这个水桶什么时候首次向公众开放,也没有人可以确认网络罪犯是否在脱机之前就设法找到了它。扎克·惠特克(Zack Whittaker)要求AT&T,Verizon和T-Mobile提出进一步的评论,但他没有得到实质性的答复,这很可能是因为这三家电信提供商根本没有补充。结果是,我们不知道有多少人可能受到泄漏的影响,这意味着,如果您是AT&T,Verizon或T-Mobile的订户,或者如果您已将他们从Sprint切换到Sprint,则可能要当心任何欺诈或身份盗用的迹象。

December 6, 2019

发表评论