PIN-коды 14 млн пользователей несколько месяцев пролежали в открытом доступе

CNews 1
PIN-коды 14 млн пользователей несколько месяцев пролежали в открытом доступе

Плохо лежало

Эксперты компании UpGuard, занимающейся вопросами информационной безопасности, обнаружили общедоступный сервер в облаке Amazon S3, на котором лежали более 20 ГБ личных данных клиентов телекоммуникационной корпорации Verizon, - имена, адреса, данные учетных записей и даже PIN-коды к их пользовательским аккаунтам Verizon.

Данные хранились в папках, поименованных по месяцам - там хранились сведения с января по июнь 2017 г. Внутри папок были размещены ZIP-архивы с незашифрованными текстовыми файлами, - объемом около 23 ГБ.

Там же обнаружились аудиозаписи звонков на линию поддержки Verizon. Кроме того, на том же сервере располагались данные, принадлежащие другой компании - французскому телеком-оператору Orange. Впрочем, там клиентских сведений не обнаружилось, исключительно внутренние файлы.

Кто это сделал?

По сведениям UpGuard, сервер принадлежит израильской компании NICE Systems, специализирующейся на разработке ПО для операционных подразделений и call-центров. NICE также известна тем, что разрабатывала и продавала репрессивным режимам системы массовой слежки.

Папка verizon-sftp на сервере Amazon с рассортированными по месяцам данными пользователей

По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE.

Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя.

Оценки рисков

Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод.

Открытый доступ стал следствием «человеческой ошибки» - администраторы NICE неправильно настроили сервер.

«Утечки персональных данных - это всегда существенный риск для бизнеса и для самих пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами - сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле.

Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации - в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN - это перспектива существенных финансовых потерь.

Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, - отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.