去年 11 月,一家名為 Voxox 的電信企業不慎洩露了一個包含數百萬條簡訊的資料庫,其中包括了密碼重置和雙因素認證程式碼。在安全研究人員曝光之前,其安全漏洞已向攻擊者敞開數月。由於伺服器未受保護,本次事件導致數百萬份呼叫日誌和文字訊息被洩露。令人驚恐的是,時隔兩月,另一家名叫 Voipo 通訊提供商,又洩露了價值數十億美元的客戶資料。
Voipo 是一家總部位於加利福尼亞州 Lake Forest 的網際網路語音服務提供商,提供面向住宅和商用的電話服務,並且支援雲端控制。
上週,安全研究員 Justin Paine 找到了暴露的資料庫,並與該公司的技術長取得了聯絡。然而在 Paine 通報之前,Voipo 的資料庫就已經離線了。
據悉,該公司的後端路由,可用於為其使用者排程和處理文字訊息。
但由於其中一個後端的 ElasticSearch 資料庫未受到密碼保護,因此任何人都可以查詢雙向傳送的實時呼叫日誌和文字訊息流。
作為 2019 年最大規模的資料洩露事件之一,迄今已有 700 萬通話和600 萬簡訊紀錄、以及其它包含未加密密碼的內部文件被洩露。
若被攻擊者拿到這些憑證,將使之獲得對企業系統的深度訪問許可權。外媒在審查了部分資料後發現,某些日誌中的網址,竟直接指向客戶的登入頁面。
Paine 在部落格文章中指出,資料庫自 2018 年 6 月開始被曝光,幷包含了可追溯至 2015 年 5 月的電話和簡訊日誌。
每天更新的日誌,已經更新到 1 月 8 號 —— 資料庫於當日正式離線,但許多檔案包含了非常詳細的呼叫紀錄、呼叫方、日期、時間等機密資訊。
儘管呼叫日誌中的一些號碼被打碼,但簡訊日誌裡的收件人和發件人資訊(以及郵件正文),都是完全裸露的。
與去年的 Voxox 漏洞類似,任何截獲的包含雙因素程式碼或密碼重置連結的簡訊,都使得攻擊者有機會繞過使用者賬戶的雙因素認證。
更糟糕的是,日誌還包含了允許 Voipo 訪問 E911 服務提供商的憑證 —— 這項服務允許急救服務方根據使用者預先設定的位置等資訊來採取行動。
糟糕的是,Paine 表示,E911 服務或已被禁用,可能導致這些客戶無法在緊急情況下獲得救助。
在一封電子郵件中,Voipo 執行長 Timothy Dick 證實了本次資料洩露,但補充道:“這只是一臺開發伺服器,並不是我們生產網路的一部分”。
Dick 聲稱該公司將所有系統都放在了防火牆之後,因此可以阻絕外部連線。然而該公司並沒有遵從該州的規定、及時地向當局通報此事。
來源:cnBeta.COM
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多資訊:
黑客攻擊醫院被捕,判刑10年,網友卻為其捐款鳴不平
四黑客侵入遠端教育中心,竊取十萬學生資訊賺百萬
家中路由器對於黑客來說是一座座金礦
當紅門禁系統被曝後門,政府機構、500強企業、學校等均受影響