Личные данные 14 миллионов клиентов телекоммуникационной корпорации Verizon в течение длительного времени лежали на общедоступном сервере Amazon S3. Сервер принадлежал партнеру Verizon — израильской компании NICE Systems, производителя ПО для call-центров.Плохо лежало
Эксперты компании UpGuard, занимающейся вопросами информационной безопасности, обнаружили общедоступный сервер в облаке Amazon S3, на котором лежали более 20 ГБ личных данных клиентов телекоммуникационной корпорации Verizon, — имена, адреса, данные учетных записей и даже PIN-коды к их пользовательским аккаунтам Verizon.
Данные хранились в папках, поименованных по месяцам — там хранились сведения с января по июнь 2017 г. Внутри папок были размещены ZIP-архивы с незашифрованными текстовыми файлами, — объемом около 23 ГБ.
Там же обнаружились аудиозаписи звонков на линию поддержки Verizon. Кроме того, на том же сервере располагались данные, принадлежащие другой компании — французскому телеком-оператору Orange. Впрочем, там клиентских сведений не обнаружилось, исключительно внутренние файлы.
Кто это сделал?
По сведениям UpGuard, сервер принадлежит израильской компании NICE Systems, специализирующейся на разработке ПО для операционных подразделений и call-центров. NICE также известна тем, что разрабатывала и продавала репрессивным режимам системы массовой слежки.
Папка verizon-sftp на сервере Amazon
с рассортированными по месяцам данными пользователей
По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE.
Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя.
Оценки рисков
Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод.
Открытый доступ стал следствием «человеческой ошибки» — администраторы NICE неправильно настроили сервер.
«Утечки персональных данных — это всегда существенный риск для бизнеса и для самих пользователей, — считает Ксения Шилак, директор по продажам компании SEC Consult. — В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами — сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле.
Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации — в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN — это перспектива существенных финансовых потерь.
Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, — отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.