Вот что происходит, когда подрядчик по спринту выставляет счета AT&T, T-Mobile и Verizon

На своем веб-сайте (который, по несвязанной ноте, загружается через HTTP, а не HTTPS), Deardorff Communications, маркетинговая и коммуникационная компания, базирующаяся в Грузии, говорит, что ее команда имеет большой опыт в различных областях, включая стратегическое планирование, продажи, реклама и т. д. К сожалению, когда дело доходит до настройки хранилищ Amazon Web Service, их опыт не хватает.

Сотрудник Deardorff поместил чуть более четверти миллиона документов в корзину Amazon S3, не смог установить пароль и забыл изменить настройки доступности с «общедоступных» на «приватных». В результате ведро вместе со всеми файлами в нем можно было просматривать из любой точки мира. Неудивительно, что в какой-то момент исследователи из компании по тестированию на проникновение под названием Fidus Information Security, те же самые люди, которые выявили уязвимость в новом электронном хранилище Ватикана, а также утечку данных издательством Magic: The Gathering, в конечном итоге посмотрели на ведро Дирдорфа.,

Счета за телефон и множество конфиденциальной информации остаются открытыми

В корзине было чуть более 260 тысяч документов, и большинство из них были счетами за мобильные телефоны, которые принадлежали абонентам AT&T, T-Mobile и Verizon. Deardorff собрал все эти файлы, потому что Sprint, один из их крупнейших клиентов, хотел убедить подписчиков сменить поставщика услуг сотовой связи. Согласно одному из документов, Sprint даже был готов заплатить сборы за досрочное прекращение, просто чтобы гарантировать, что все больше людей пользуются его услугами.

Сами телефонные счета раскрывают довольно много личной информации и контактных данных, и они также часто содержат журналы вызовов, которыми некоторые люди, вероятно, предпочитают не делиться с остальным миром. В дополнение ко всему этому, исследователи также обнаружили выписку из банковского счета и снимок экрана, на котором были отображены имена пользователей в сети, пароли и PIN-коды неизвестного числа подписчиков.

Сначала было неясно, кто обнародовал данные. Вскоре после обнаружения корзины эксперты уведомили Amazon, который связался с владельцем данных и отключил их. Однако по юридическим причинам Amazon отказалась сообщить Fidus, кто несет ответственность за утечку.

Тем не менее, данные были переданы Zack Whittaker из TechCrunch, который проверил некоторые файлы с помощью средства проверки метаданных и узнал, что они, вероятно, принадлежат Дирдорффу. Джефф Дирдорф, президент маркетинговой компании, признал, что один из его сотрудников несет ответственность за утечку, и пообещал, что сделает все возможное, чтобы выяснить, что пошло не так и что можно сделать, чтобы предотвратить подобные инциденты в будущем.

Подобные утечки данных слишком распространены

Некоторые из вас могут сказать, что это далеко не самый ужасный инцидент безопасности данных и что многие другие документы могут быть гораздо более опасными. Тем не менее, быстрый просмотр вашего последнего обычного счета за телефон показывает, что то, что выглядит как безобидный листок бумаги, на самом деле содержит информацию, которая может легко привести к краже личных данных. В этом конкретном случае Дирдорф также раскрыл пароли и PIN-коды подписчиков, что увеличивает риск таких атак, как подмена SIM-карты и заполнение учетных данных.

Настоящая проблема заключается в том, что подобные утечки случаются ежедневно. Чаще всего они вызваны легко предотвращаемыми и достаточно простыми ошибками конфигурации, но отсутствие образования означает, что ИТ-специалисты не знают, что делать, когда им поручено безопасное хранение данных пользователей.

Дирдорф не сказал, когда ведро было впервые открыто для публики, и никто не может подтвердить, удалось ли киберпреступникам добраться до него, пока он не был отключен. Зак Уиттакер попросил у AT&T, Verizon и T-Mobile дальнейшие комментарии, но он не получил ничего существенного, скорее всего, потому что трем поставщикам телекоммуникационных услуг просто нечего добавить. В результате мы не знаем, сколько людей потенциально затронуто утечкой, а это означает, что если вы являетесь абонентом AT&T, Verizon или T-Mobile или переключились с них на Sprint, возможно, вы захотите следите за любыми признаками мошенничества или кражи личных данных.