PIN-коды 14 млн пользователей несколько месяцев пролежали в открытом доступе

14 июль 2017 11:36 #59161 от ICT
Плохо лежало Эксперты компании UpGuard, занимающейся вопросами информационной безопасности, обнаружили общедоступный сервер в облаке Amazon S3, на котором лежали более 20 ГБ личных данных клиентов телекоммуникационной корпорации Verizon, - имена, адреса, данные учетных записей и даже PIN-коды к их пользовательским аккаунтам Verizon. Данные хранились в папках, поименованных по месяцам - там хранились сведения с января по июнь 2017 г. Внутри папок были размещены ZIP-архивы с незашифрованными текстовыми файлами, - объемом около 23 ГБ. Там же обнаружились аудиозаписи звонков на линию поддержки Verizon. Кроме того, на том же сервере располагались данные, принадлежащие другой компании - французскому телеком-оператору Orange. Впрочем, там клиентских сведений не обнаружилось, исключительно внутренние файлы. Кто это сделал? По сведениям UpGuard, сервер принадлежит израильской компании NICE Systems, специализирующейся на разработке ПО для операционных подразделений и call-центров. NICE также известна тем, что разрабатывала и продавала репрессивным режимам системы массовой слежки. http://filearchive.cnews.ru/img/news/2017/07/14/pin440.jpg"> Папка verizon-sftp на сервере Amazon с рассортированными по месяцам данными пользователей По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE. Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя. Оценки рисков Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод. Открытый доступ стал следствием «человеческой ошибки» - администраторы NICE неправильно настроили сервер. «Утечки персональных данных - это всегда существенный риск для бизнеса и для самих пользователей, - считает [b]Ксения Шилак[/b], директор по продажам компании SEC Consult. - В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами - сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле. Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации - в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN - это перспектива существенных финансовых потерь. Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, - отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.[img]http://filearchive.cnews.ru/img/news/2017/07/14/pin440.jpg"> Папка verizon-sftp на сервере Amazon
с рассортированными по месяцам данными пользователей По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE. Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя. Оценки рисков Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод. Открытый доступ стал следствием «человеческой ошибки» - администраторы NICE неправильно настроили сервер. «Утечки персональных данных - это всегда существенный риск для бизнеса и для самих пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами - сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле. Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации - в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN - это перспектива существенных финансовых потерь. Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, - отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Данные пользователей провайдера VOIPO находились в открытом доступе18.96Пятница, 18 января 2019
    Пароли миллионов пользователей Facebook хранились в открытом доступе18.96Пятница, 22 марта 2019
    Данные миллионов пользователей Instagram оказались в открытом доступе18.96Пятница, 24 мая 2019
    Данные 3 млн пользователей Facebook четыре года хранились практически в открытом доступе18.56Вторник, 15 мая 2018
    В открытом доступе лежали приватные данные десятков миллионов пользователей LinkedIn18.56Вторник, 11 декабря 2018
    База данных пользователей Instagram, TikTok и YouTube оказалась в открытом доступе18.56Пятница, 21 августа 2020
    В США нашлись в открытом доступе миллионы файлов о расследованиях ФБР14.9Вторник, 22 января 2019
    Карта проектов Smart City появилась в открытом доступе14.74Четверг, 04 апреля 2019
    Грандиозная утечка в Zoom. В открытом доступе – тысячи видеопереговоров14.74Понедельник, 06 апреля 2020
    В открытом доступе в России находится порядка 7 500 незащищенных баз данных14.74Среда, 27 апреля 2022

    Мы в соц. сетях