0
(Afbeelding: foto bestand)
Een Israëlische technologie bedrijf heeft blootgesteld miljoenen klant van Verizon records, ZDNet heeft geleerd.
Zo ‘ n 14 miljoen records van de abonnees die de naam van de telefoon reus de klant van de diensten in de afgelopen zes maanden werden gevonden op een onbeveiligde Amazon S3 storage server gecontroleerd door een medewerker van Nice Systems, een Ra’anana, Israël-gebaseerd bedrijf.
De gegevens downloaden door iedereen makkelijk te raden web adres.
Mooi, dat telt 85 van de Fortune 100 klanten, speelt in twee belangrijkste enterprise software markten: customer engagement en financiële criminaliteit en de naleving, met inbegrip van hulpmiddelen, die het voorkomen van fraude en het witwassen van geld. Nice 2016 de omzet was $1.01 miljard, een stijging van $926.9 miljoen in het voorgaande jaar. De financiële sector is Mooi ‘ s grootste industrie in termen van klanten, met telecom bedrijven als Verizon een belangrijke verticaal. Het bedrijf heeft meer dan 25.000 klanten in ongeveer 150 landen.
Privacy-waakhonden hebt gekoppeld met het bedrijf om verschillende bestuurlijke inlichtingendiensten, en het is bekend om nauw samen te werken met het toezicht op en de telefoon kraken bedrijven Hacking Team en Cellebrite. In de regelgeving ingediend bij de Securities and Exchange Commission, Mooi opgemerkt dat het niet in de hand wat klanten doen met de software. “Onze producten mogen ook bewust worden misbruikt door de klanten die onze producten gebruiken,” zei Lekker in haar jaarlijkse rapport.
Chris Vickery, directeur van de cyber risico-onderzoek bij beveiligingsbedrijf UpGuard, die vond dat de gegevens, privé vertelde Verizon van de blootstelling kort nadat het was ontdekt in eind juni.
Het duurde meer dan een week voordat de gegevens uiteindelijk werd beveiligd.
De klant records werden opgenomen in log-bestanden die zijn gegenereerd bij Verizon klanten in de laatste zes maanden genoemd klantenservice. Deze interacties zijn opgenomen, verkregen en geanalyseerd door Nice, die zegt dat het kan “het realiseren van opzet, en extract en benutten van inzichten te leveren effect in real-time.” Verizon maakt gebruik van die gegevens voor het verifiëren van een rekeninghouder en voor het verbeteren van customer service.
Elke record wordt opgenomen de naam van een klant, een gsm-nummer, en hun account PIN-die als verkregen zou toestaan dat iemand toegang tot een van de abonnee account, volgens een Verizon call center vertegenwoordiger, die sprak op voorwaarde van anonimiteit omdat ze niet bevoegd om de pers te spreken.
Verschillende security-experts geïnformeerd over de blootstelling vóór de publicatie gewaarschuwd telefoon kaping en account overnames, zodat hackers om in te breken in iemands e-mail en social media accounts beschermd, zelfs door de twee-factor authenticatie.
Verizon heeft meer dan 108 miljoen post-paid draadloos klanten.
Zes mappen voor elke maand, van januari tot en met juni bevatte verschillende dagelijkse log bestanden, blijkbaar is het opnemen van gesprekken met klanten uit verschillende regio ‘ s, gebaseerd op de locatie van de onderneming datacenters, zoals Florida en Sacramento. Elke record bevat tevens honderden velden van aanvullende gegevens, met inbegrip van een klant thuis adres, e-mail adressen, wat voor soort van extra Verizon diensten van een abonnee, wordt het huidige saldo van hun rekening, en als een abonnee is een Verizon federale overheid account, om een paar te noemen. Een veld verscheen ook voor het opnemen van een klant “frustratie score,” door te signaleren als bepaalde zoekwoorden worden gesproken door een klant tijdens een gesprek.
Hoewel de logs verwezen klant spraakopnamen, er werden geen audio-bestanden op de server.
Sommige van de records zijn “gemaskeerd” in wat lijkt op een redactie inspanning om te voorkomen dat een onbevoegde openbaarmaking van persoonlijke informatie. Maar de meeste van de dossiers van de klant zijn gedeeltelijk of in zijn geheel zichtbaar.
Ted Plaats, een Democratisch congreslid en computer science major, zei de blootstelling was “zeer verontrustend.”
“Ik ga vragen aan de Rechterlijke macht Comité tot het houden van een hoorzitting over deze kwestie, omdat het Congres moet om uit te vinden de schaal en de omvang van wat er is gebeurd en ervoor te zorgen dat het niet weer zal gebeuren,” zei hij tegen ZDNet.
Plaats, ook een klant van Verizon, zei: “ik zou graag willen weten of mijn gegevens is geschonden.”
Verizon zei dat het onderzoek naar de wijze waarop de klant gegevens onjuist worden opgeslagen op Amazon Web Services (AWS) server als “deel van een goedgekeurde en lopende project” verbetering van haar service.
“Verizon voorwaarde dat de verkoper met het bepaalde gegevens voor het uitvoeren van deze werken en erkende verkoper te stellen AWS opslag als onderdeel van dit project,” aldus een woordvoerder. “Helaas, de leverancier van de werknemer ten onrechte hun AWS opslag voor externe toegang.”
Een account van een senior Verizon medewerker met kennis van de situatie zegt dat het bedrijf niet op de hoogte was dat de gegevens worden exfiltrated of geëxporteerd, en Verizon had geen controle over de server.
De telefoon reus zei dat de “overgrote meerderheid van de informatie in de data set heeft geen externe waarde.”
“Er is een aantal persoonlijke gegevens in de data-set”, aldus de woordvoerder, “maar zoals eerder aangegeven, zijn er geen aanwijzingen zijn dat de informatie in gevaar is gebracht.”
Verizon zou ook niet zeggen hoe het “gemaskeerd” gegevens, onder vermelding van de beveiliging.
Mooi zei: het was ook het onderzoeken van de blootstelling. Een woordvoerder zei dat geen van de systemen of producten werden geschonden en “geen andere Leuke klant gegevens bij betrokken was.”
Vickery zei echter dat er aanwijzingen zijn dat de gegevens van Oranje, een Europese telecomprovider was voor een tijd ook opgeslagen op de blootgestelde server, volgens Vickery, wat suggereert dat de blootstelling van gegevens mag niet worden beperkt tot Verizon. (Oranje reageerde niet op een verzoek om commentaar.)
Een Mooie woordvoerder zei later dat de gegevens “gedeelte van een demo-systeem”, en niet verder commentaar.
Het blijft onduidelijk wie in Nice had toegang tot de server of als de gegevens zijn gedownload door iemand anders.
Verizon zei dat het gevraagde informatie op die toegang had tot de opslag. Een woordvoerder zei maandag dat een onderzoek bepaald “geen andere externe partij toegang tot de gegevens.” Wanneer ingedrukt, begint het bedrijf zou niet zeggen hoe het tot die conclusie kwam.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0