Данни от 14 000 000 клиенти на Verizon се съхраняват на грешно конфигуриран сървър

Xakep #241. Хакване на игри

Известният специалист по информационна сигурност Крис Викери, сега директор на отдела за изследване на киберриска в UpGuard, откри в мрежата данните на 14 000 000 потребители на телекомуникационния гигант Verizon, които бяха свободно достъпни за всички. Изследователят пише, че отговорността за изтичането на информация се носи от трета страна, израелска фирма NICE Systems, която е партньор на Verizon и разработва софтуерни решения за бек офиси и центрове за обаждания, а също така е забелязана в разработването на инструменти за масово проследяване.

Vickery откри незащитена информация в облака на Amazon S3, кофата на NICE Systems беше конфигурирана по такъв начин, че всеки да има достъп до данните. В същото време не е напълно ясно с каква цел изпълнителят на Verizon е събирал и съхранявал информация за клиентите на компанията.

verizon

На сървър, достъпен за всички, чийто URL адрес открито съдържа фразата "verizon-sftp", бяха намерени много интересни неща. И така, в корена Викери намери редица файлове и директории във формат, подобен на дневник. Директориите бяха именувани в календарен ред, т.е. от януари 2017 г. до юни 2017 г., и съдържаха подредена информация за всеки ден от месеца.

verizon

Всеки ден от месеца имаше собствен ZIP архив, съдържащ тестови файлове с подробна информация за потребителите. Когато се разархивират, някои от тези файлове "тежат" до 23 GB, а обемът на цялото хранилище като цяло е много терабайти.

Също така на сървъра на NICE Systems бяха открити данни от френския мобилен оператор Orange S.A. За разлика от файловете на Verizon, тези данни не са били за клиентите на компанията, а са съдържали вътрешна информация.

В момента Verizon и NICE Systems вече официално признаха случилото се иувери, че неупълномощени лица (освен изследователи) нямат достъп до поверителни данни. В същото време представители на Verizon твърдят, че информацията не на дванадесет, а на шест милиона потребители е потенциално компрометирана.

В доклада си експертите на UpGuard отбелязват, че този случай ясно илюстрира какви могат да бъдат потенциалните рискове при прехвърляне на поверителни данни към изпълнители на трети страни. Изследователите също така пишат, че сами по себе си облачните услуги като AWS могат да се считат за надеждни и сигурни, просто трябва да запомните, че отговорността за правилната им конфигурация често лежи върху раменете на компании като NICE Systems.