這是當Sprint承包商暴露AT&T,T-Mobile和Verizon Bills時發生的情況

Sprint Contractor Data Leak

總部位於佐治亞州的營銷和傳播公司Deardorff Communications在其網站上 (一個不相關的註解是通過HTTP而不是HTTPS加載的)表示,其團隊在包括戰略計劃,銷售,廣告等。不幸的是,在配置Amazon Web Service存儲桶時,他們缺乏專業知識。

Deardorff的一名員工將一百萬個文檔中的四分之一放在一個Amazon S3存儲桶中,未能設置密碼,並且忘記了將可訪問性設置從“公共”更改為“私有”。結果,可以從世界任何地方查看存儲桶及其中的所有文件。毫不奇怪,有一次,來自一家名為Fidus Information Security的滲透測試公司的研究人員發現梵蒂岡的新eRosary 的安全漏洞以及Magic:The Gathering的發布者的數據洩漏 ,最終發現了Deardorff的存儲桶。

電話費和大量敏感信息被遺漏在外

存儲桶中有26萬多份文檔,其中大多數是屬於AT&T,T-Mobile和Verizon訂戶的手機賬單。 Deardorff收集了所有這些文件,因為他們最大的客戶之一Sprint希望說服訂戶更改其手機服務提供商。根據其中一份文件,Sprint甚至準備支付提早終止費用,只是為了確保有更多人使用其服務。

電話賬單本身會透露很多個人信息和聯繫方式,並且通常還包含通話記錄,有些人可能不希望與世界其他地方共享。除了所有這些,研究人員還發現了銀行對帳單和屏幕截圖,其中顯示了未知數量用戶的在線用戶名,密碼和PIN。

起初,不清楚誰公開了數據。在找到存儲桶後不久,專家通知了亞馬遜,亞馬遜與數據的所有者取得了聯繫並使其脫機。但是,出於法律原因,亞馬遜拒絕告訴Fidus洩漏的責任人。

數據是與TechCrunch的Zack Whittaker共享的,後者通過元數據檢查器運行了一些文件,並得知它可能是Deardorff所擁有。營銷公司總裁傑夫·迪亞多夫(Jeff Deardorff)承認洩漏是由他的一名員工負責的,並承諾他將竭盡所能找出問題出在哪裡,以及將來可以採取哪些措施來防止類似事件的發生。

這樣的數據洩漏太普遍了

你們中的某些人可能說這絕不是最可怕的數據安全事件,而且許多其他文檔可能更加危險。快速瀏覽一下您最近的常規電話賬單就會發現,看起來像一張無害的紙實際上包含著很容易導致身份盜用的信息。在這種特殊情況下,Deardorff還洩露了訂戶的密碼和PIN碼,這增加了諸如SIM交換憑證填充之類的攻擊風險。

真正的問題是每天都會發生類似的洩漏。通常,它們是由容易避免和相當簡單的配置錯誤引起的,但是缺乏教育意味著IT人員在承擔安全存儲用戶數據的任務時不知道該怎麼辦。

迪亞多夫沒有透露這個水桶什麼時候首次向公眾開放,也沒有人能夠確認網絡罪犯是否在脫機之前就設法找到了它。扎克·惠特克(Zack Whittaker)向AT&T,Verizon和T-Mobile徵求了進一步的評論,但他沒有得到實質性的答复,這很可能是因為這三家電信提供商根本沒有補充。結果是,我們不知道有多少人可能受到洩漏的影響,這意味著,如果您是AT&T,Verizon或T-Mobile的訂戶,或者如果您已將他們從Sprint切換到Sprint,則可能要當心任何欺詐或身份盜用的跡象。

December 6, 2019

發表評論