Персональные данные порядка 14 миллионов клиентов американского телекоммуникационного гиганта Verizon оказались в открытом доступе. Утечка произошла по вине подрядчика, который неправильно сконфигурировал настройки репозитория с этими данными.

Директор по изучению кибер-рисков компании UpGuard Крис Викери (Chris Vickery), прославившийся своими находками многомиллионных подборок учетных записей и персональных данных в сети, в частном порядке сообщил об этом инциденте в Verizon 8 июля 2017 года. Терабайты данных о клиентах компании обнаружились в облаке Amazon S3 — для получения доступа к ним достаточно было знать правильный URL.

Компания Verizon в своем официальном заявлении, появившемся во вторник, утверждает, что число жертв завышено и оно ближе к 6 миллионам уникальных аккаунтов клиентов.

Печально известным подрядчиком Verizon является израильская фирма NICE Systems, занимающаяся предоставлением государственным заказчикам решений для массового слежения, а также программных продуктов для работы колл-центров, анализа голосовых сообщений, защиты данных, противодействия финансовым махинациям и мошенничеству.

Незащищенный репозиторий S3 управлялся одним из инженеров из штаб-квартиры компании и был создан для ведения журнала звонков клиентов «для неизвестных целей», говорит UpGuard в опубликованном вчера сообщении. Согласно текстовым файлам, найденным на незащищенном сервере, NICE Systems также работает с французским мобильным оператором Orange S.A.

В сеть попали имена клиентов, адреса, данные учетных записей и PIN-коды, которые используются для верификации клиентов агентами колл-центра. NICE Systems в отчете об инциденте попыталась списать все на человеческий фактор.

Verizon заявила, что к хранившимся в открытом виде персональным данным пользователей никто не получал доступ.

«Нами установлено, что доступ к облачному хранилищу имели только Verizon, поставщик услуг и исследователь, сообщивший об этой утечке», — сказал представитель Verizon. «Другими словами, не было никаких потерь или кражи информации клиентов Verizon».

Компания Verizon сказала, что наняла NICE Systems для улучшения работы портала колл-центра. Verizon отметила, что большинство данных «не имеют ценности для третьих лиц», и добавила, что среди них не было номеров социального страхования или голосовых записей. Что касается PIN-кодов, Verizon заявила, что они использовались для аутентификации клиентов, обращающихся в колл-центр, и не использовались для онлайн-доступа к учетным записям.

«Зная эти PIN-коды мошенники могут легко обмануть службу поддержки Verizon и, представившись клиентами, получить доступ к реальным аккаунтам. Эта перспектива выглядит особенно удручающей, принимая во внимание, растущую зависимость от мобильной связи для двухфакторной аутентификации«, — отмечает UpGuard.

Более того, с момента обнаружения UpGuard утечки и информирования Verizon до устранения проблемы прошло 9 дней — все это время данные пользователей оставались в публичном доступе.

В незащищенном репозитории, Крис Виккери обнаружил шесть папок пронумерованных в календарном порядке от «Jan-2017» до «June-2017». В папках хранились данные о клиентах, и .zip-архивы под названиями «VoiceSessionFiltered» и «WebMobileContainment». Внутри каждой папки месяца были подпапки по дням, которые, по мнению UpGuard, представляют собой автоматически генерируемые архивы.

Из отчета UpGuard:

«После распаковки, в содержимом этих ежедневных папок были обнаружены текстовые файлы изрядного размера — до 23 Гбайт. После анализа стала ясна общая структура этих файлов: большие тестовые блоки, похоже, представляют собой расшифровку голосовых звонков в колл-центры и включают такие поля, как TimeInQueue» и «TransferToAgent». Проверка различных субдоменов сервиса https://voiceportalfh.verizon.com, также свидетельствует о том, что данные были получены с использованием технологии распознавания голоса.

«Это еще не все. В логах также содержались и другие данные аккаунтов Verizon, такие как: имя пользователя, адрес, номер телефона, информационные поля с дополнительными комментариями, отслеживающие степень удовлетворённости сервисом, к примеру «FrustrationLevel», также данные о покупках, такие как «HasFiosPendingOrders». Каждому полю присваивалось значение из диапазона «True» / «False», «Y» / «N». Однако в большинстве случаев наиболее ценная информация — PIN-коды и «CustCode» — была скрыта».

Впрочем, осталось существенное число записей, в которых PIN-коды не были скрыты, так что злоумышленники могли добраться до аккаунтов соответствующих клиентов Verizon. К примеру, анализ UpGuard одного из файлов позволил исследователям добыть 6000 PIN-кодов.

В современном мире наши личные данные обрабатываются не только компаниями, которым мы лично их доверили, но и многочисленными сторонними подрядчиками, о существовании которых мы можем даже не подозревать. «Перспектива того, что данные ваших аккаунтов и цифровых учетных записей могут оказаться в широком доступе благодаря действиям таких подрядчиков, — это не научная фантастика, а неприятная реальность цифрового мира», — говорит UpGuard.

Категории: Главное, Кибероборона