「du001全训网」云泄露:Verizon公司超1400万用户信息外泄

发布时间: 2020-01-08 09:06:57

「du001全训网」云泄露:Verizon公司超1400万用户信息外泄

du001全训网,e安全7月14日讯 verizon公司超过1400万用户个人资料因第三方供应商云服务器安全配置不当遭到外泄。

(更新消息:截至太平洋标准时间7月12日下午3点,nice systems与verizon双方已经确认了此次信息泄露事故的存在,而verizon方面的发言人则表示只有600万客户信息遭到曝光。)

upguard公司网络风险小组致力于发现泄露至网络之上的各类数据,旨在借此保护相关各方并提高人们对于数字化领域内由网络风险导致的数据安全问题的重视程度。

这套数据存储库由nice systems公司以色列赖阿南纳总部内的工程师负责管理,属于amazon web services的s3存储桶,就目前来看似乎用于记录某类特定客户的呼叫数据。

除了允许通过此s3存储桶的url公开访问用户名称、地址及帐户信息等相关风险之外,其中还将用于验证客户身份的verizon帐户密码与相关电话号码一同列出,这一点尤其值得关注。拥有这些帐户pin码的诈骗者将能够成功冒充客户向verizon公司拨打电话以获取帐户访问权限。目前,移动通信领域正越来越多地使用双因素验证机制,一旦这些用户的访问权限丢失显然将带来巨大威胁。

最后,此番数据曝光亦成为第三方供应商在处理敏感数据时可能引发风险的有力例证。upguard公司在今年6月13日首次向verizon公司发出了数据泄露的通知意见,但令人不安的是后者直到6月22日才彻底关闭这一外泄源。第三方供应商风险属于商业风险;共享敏感商业数据并不会转移这种风险,而只是将其传播至其它合作伙伴处;另外,云数据泄露能够跨越各个大洲并一次性影响多家企业。

nice systems公司以往曾经提供过用于支持国家监控计划内相关侵入行为的技术方案,而这样的背景无疑令此次数据外泄更加令人不安。

消费者们应该对verizon公司将客户信息内的私人数据通过可下载存储库形式委托给其它美国主要企业进行离岸记录的作法感到震惊,特别是考虑到这种公开分享url的方式意味着相关受害者永远无法知晓到底是哪些企业在共享这些信息。

2017年6月8日,upgurd公司网络风险研究主管克里斯·维克里发现一套基于云端的amazon s3数据存储库,其配置为可完全下载并允许公开进行访问。这意味着只需要输入对应的s3 url,任何一方即可轻松访问其数据库中的数tb敏感内容。

该存储库的子域名为“verizon-sftp”,这充分表明了文件的具体来源。通过查看,该存储库内包含六个文件夹,且标题根据时间命名(自2017年1月到2017年6月)。另外,其中还存在部分格式为.zip的文件,具体包括“voicesessionfiltered.zip”以及“webmobilecontainment.zip”等。虽然这些文件无法通过.zip直接解压,但可以将格式更改为.gzip并利用对应程序完成内容提取。

“verizon-sftp”存储库

以月份命名的各个文件夹包含与当月份对应的每日记录子目录。而在每日子目录内则通常存在数十个压缩文件。根据种种迹象来看,这应该是一套自动每日记录文件存储库。例如,文件夹的最后登录时间为2017年6月22日,其名称对应为“june-2017“。

“apr-2017”文件夹中的每日日志文件夹

但这还仅仅只是开始。日志当中还包含大量verizon帐户细节信息,具体包括客户姓名、地址、电话号码以及一系列用于指示客户满意度的信息追踪字段。例如“沮丧级别”与“等待安装光纤”等状态。

另外,verizon还设定有多种数字评级值,并以“真”、“假”、“是”与“否”进行标注。不过在这些大规模呼叫记录当中,最敏感的数据(例如‘pin码’与‘custcode’等)受到了屏蔽。

一个通话记录,最敏感的数据被屏蔽

但仍有相当一部分记录并未屏蔽全部细节信息。对于规模较小的呼叫记录,即完全没有采取此类屏蔽机制,访问者能够轻松获取“pin码”及其它类似的重要数据。而这类帐户pin码属于评判来电者是否身为合法客户的重要依据,负责确保欺诈者无法访问或更改verizon帐户设置。而其它字段及其答案(例如‘呼叫中心密码’)则表明哪些帐户持有人要求利用更高的客户服务电话安全标准进行帐户设置修改。立足于此,一旦诈骗者拥有这部分日志信息,其即可轻松判断哪些客户更容易受到危害。更可怕的是,在单独一份这样的文件当中,就包含有6000条未经屏蔽的pin码记录。

一个通话记录,暴露最敏感的数据

法国电信运营商orange公司在该s3服务器当中存储的数据则相对缺少话题性。正如前文所提到,orange公司为nice systems的另一位合作伙伴,且与verizon在欧洲数据市场上存在竞争关系。

源自巴黎电信orange sa的法语数据

虽然就目前来看,orange公司泄露的数据并不是非常敏感,但是这些信息被包含在了由verizon所使用的存储库当中。

这套关键性数据存储库暴露出的最大问题在于,其并非由企业本身所持有,而是归第三方供应商负责掌控着运营。作为第三方供应商的nice systems公司则一直开放该aws s3存储桶的公开访问权限,并导致大量verizon客户的个人信息遭到泄露。

除了上述直接业务,这家以色列公司还凭借着一系列相当知名的对美企业并购与verizon在北美市场上建立起极为紧密的业务合作关系。2016年,nice公司收购了incontact与vpi两家公司,二者此前都曾为verizon提供后台办公与呼叫中心业务软件。

除了客户姓名、地址与电话号码等可由诈骗者及营销人员直接使用的敏感信息之外,verizon帐户pin码的泄露还导致其辛苦建立起的信任体系瞬间崩溃。在这样的背景之下,欺诈者可以要求verizon呼叫中心的操作人员配合其完成几乎所有操作,包括“寄换sim卡”以进行诈骗,或者如《威格报》提到的破坏双因素验证机制:

“双因素验证机制中最大的缺点在于无线运营商本身。如果您能够入侵攻击目标所选择的无线运营商帐户,例如at&t、verizon或者t-mobile,则可进一步劫持目标接收到的任何通话或者文本内容。对于像signal这样的手机应用,诈骗者完全能够将其与给定电话号码绑定起来,进而劫持整个帐户。与此同时,运营商在采用双因素验证方面一直表现得非常迟缓,而且更倾向于使用pin码或者其它易被绕过的安全方案。由于两大网络服务公司控制了大部分市场份额,因此其确实没有动力积极提升服务安全水平。”

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

@e安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。