Известный ИБ-специалист Крис Викери (Chris Vickery), ныне занимающий пост директора по изучению киберрисков в компании UpGuard, обнаружил в сети данные 14 000 000 пользователей телекоммуникациого гиганта Verizon, которые были свободно доступны всем желающим. Исследователь пишет, что ответственность за утечку лежат на сторонней израильской фирме NICE Systems, которая является партнером Verizon и занимается разработкой софтверных решений для бэк-офисов и колл-центров, а также была замечена в разработке средств для массового слежения.
Незащищенную информацию Викери обнаружил в облаке Amazon S3, бакет NICE Systems был сконфигурирован таким образом, что доступ к данным мог получить кто угодно. При этом не совсем ясно, с какой целью подрядчик Verizon собирал и хранил информацию о клиентах компании.
На доступном всем желающим сервере, URL которого открыто содержал словосочетание «verizon-sftp», обнаружилось немало интересного. Так, в корне Викери нашел ряд файлов и директорий в похожем на логи формате. Директории были поименованы в календарном порядке, то есть от Jan-2017 до June-2017, и содержали упорядоченную информацию о каждом дне месяца.
Каждое число месяца имело свой ZIP-архив, внутри которого содержались тестовые файлы с детальной информацией о пользователях. В разархивированном виде некоторые из этих файлов «весят» до 23 Гб, а объем всего репозитория в целом начитывает много терабайт.
Более того, логи NICE Systems содержали не только имена, адреса, телефоны и информацию об учетных записях пользователей. На сервере хранились текстовые расшифровки голосовых звонков в службу клиентской поддержки Verizon (судя по всему, связанные с сервисом voiceportalfh.verizon.com), а также PIN-коды, которые используются для верификации аккаунтов.
Стоит ли говорить, что такая информация может оказаться настоящим подарком для злоумышленников, ведь зная секретный PIN-код, мошенники с легкость могут выдать себя за настоящих пользователей. Только вчера мы рассказывали о похожем случае: злоумышленники обошли двухфакторную аутентификацию аккаунта PayPal, перехватив управление чужим номером телефона. Мошенники просто позвонили на линию поддержки оператора связи и убедили сотрудника колл-центра в том, что он разговаривает с настоящим владельцем номера. А ведь в этом случае злоумышленники даже не знали секретного пароля.
Также на сервере NICE Systems были обнаружены данные французского мобильного оператора Orange S.A. В отличие от файлов Verizon, эти данные касались не клиентов компании, но содержали внутреннюю информацию.
Специалисты UpGuard обнаружили потенциальную утечку еще 8 июня 2017 года и незамедлительно связались с представителями Verizon и NICE Systems. Несмотря критичность проблемы, уязвимость была устранена только 22 июня 2017 года, что исследователи тоже считают тревожным знаком.
В настоящий момент Verizon и NICE Systems уже официально признали случившееся и заверили, что никакие посторонние лица (помимо исследователей) не имели доступа к конфиденциальным данным. При этом представители Verizon утверждают, что потенциальной компрометации подверглась информация не двенадцати, а шести миллионов пользователей.
В своем отчете специалисты UpGuard отмечают, что этот случай ярко иллюстрирует, какими могут быть потенциальные риски при передаче конфиденциальных данных сторонним подрядчикам. Также исследователи пишут, что сами по себе облачные сервисы, подобные AWS, вполне можно считать надежными и защищенным, просто нужно помнить о том, что ответственность за их правильную настройку зачастую лежит на плечах таких компаний, как NICE Systems.