安全漏洞導致“數百萬”Telefonica客戶曝光的個人數據
2017年5月12日,一場前所未有的勒索軟件爆發感染了全世界數千台計算機,並造成了不可見的嚴重破壞。臭名昭著的WannaCry壓力襲擊了普通用戶和大型組織,造成了巨大的經濟損失。 Telefonica是一家總部位於西班牙的跨國電信提供商,也是最大的WannaCry受害者之一。 14個月後,WannaCry落後於他們,他們還有另一個網絡安全問題需要擔心。這是一個很大的問題。顯然,Telefonica無意中遺漏了數百萬西班牙客戶的個人數據。
在西班牙,Telefonica以Movistar品牌運營,據報導是該國最大的移動電話運營商,同時還提供固定電話,寬帶和付費電視服務。像所有優秀的服務提供商一樣,它有一個網站,客戶可以登錄,激活或取消激活功能和服務,監控使用情況並查看發票。當他們注意到一個大問題時,有人顯然正在檢查他們的發票。
週一,Telefonica修補了它,不久之後,專門保護消費者權利的西班牙非政府組織FACUA宣布了細節。在查看發票時,客戶可以在URL中看到與發票號碼相同的簡短字母數字代碼。如果您要更改另一個有效發票號的URL中的代碼,系統將顯示所述發票,無論它是否屬於您。換句話說,登錄意味著您可能花費數小時瀏覽已發給隨機人員的Movistar發票。
正如您可能想像的那樣,發票中包含大量個人信息,包括姓名,電子郵件和帳單地址,電話號碼,通話記錄,國家身份證號碼等。因此,FACUA將此問題稱為“最大的安全漏洞”在西班牙電信史上。“我們不確定這是否是一個非常準確的描述。
西班牙電信歷史上最大的安全漏洞或網站漏洞?
Telefonica的人員仍在調查,但就目前而言,沒有人發現有任何證據表明網絡犯罪分子正在利用此漏洞並竊取用戶數據。如果事實證明數據已被洩露,那麼我們確實可以說是違規。在那之前,我們有一個在線系統,其中存在很大的安全漏洞。
Movistar的網站很容易受到名為資源枚舉的攻擊。簡而言之,資源枚舉意味著使用資源的URL(在本例中為發票),您可以看到猜測您不應該看到的資源的URL。不用說,攻擊可以自動化,並且相對容易實現。我們希望日誌不會洩露任何剝削的證據。
措辭很重要,但客戶數據更重要
Telefonica遇到了麻煩,這是正確的。他們說他們正在調查造成這個問題的原因,但從事情看來,它似乎植根於糟糕的設計,當你處理數千萬人的數據時,這並不是非常好。
請記住,Movistar在歐盟運營,這意味著適用GDPR規定。這意味著這家電信巨頭可能面臨數千萬美元的罰款。該國的數據保護機構也在調查此事,可能會有一些自己的話要說。
當你讓其他人擔心這一切時,你可以做的不僅僅是停下來想想你委託你的數據有多少像Telefonica這樣的組織。您也可以考慮有多少人會像西班牙電信公司那樣失敗。