0
(Bild: en fil foto)
En Israelisk teknik har företaget utsätts miljontals Verizon kundregister, ZDNet har lärt sig.
Så många som 14 miljoner skivor av abonnenter som ringde telefonen giant ‘s kundservice i de senaste sex månaderna har hittat på en oskyddad Amazon S3 storage server som kontrolleras av en anställd i Nice System, en Ra’ anana, Israel-baserade företaget.
De data som gick att ladda hem av alla som har lätt att gissa webbadress.
Nice, som räknas 85 av Fortune 100 kunder, spelar i två huvudsakliga affärssystem marknader: kundens engagemang och ekonomisk brottslighet och efterlevnad, inklusive verktyg för att förhindra bedrägeri och penningtvätt. Nice 2016 intäkter var $1,01 miljarder, en ökning från $926.9 mkr föregående år. Sektorn för finansiella tjänster är Trevligt största industrin i form av kunder, med telecom företag som Verizon en viktig vertikalt. Företaget har mer än 25 000 kunder i cirka 150 länder.
Sekretess vakthundar har länkat företaget att flera statliga underrättelsetjänster, och det är känt att arbeta i nära samarbete med övervakning och telefon sprickbildning företag Hacking Team och Cellebrite. I registreringsansökningar med Securities and Exchange Commission, Nice noteras att det inte kan styra vad kunderna gör med sin programvara. “Våra produkter kan också vara uppsåtligen missbrukas eller utnyttjas av kunder som använder våra produkter,” sade Trevligt i sin årliga rapport.
Chris Vickery, chef för it-risk för forskning vid bevakningsföretag UpGuard, som funnit data, privat berättade Verizon av exponeringen strax efter att den upptäcktes i slutet av juni.
Det tog över en vecka innan data till slut var säkrad.
Kunden poster som ingår i logg-filer som genereras när Verizon kunder under de senaste sex månaderna kallas kundservice. Dessa interaktioner är inspelade erhållits och analyserats av Nice, som säger att det kan “förverkliga uppsåt, och extrahera och utnyttja insikter för att leverera effekten i realtid.” Verizon använder uppgifterna för att kontrollera kontohavare och för att förbättra kundservice.
Varje post som ingår i kundens namn, mobilnummer, och att deras konto PIN-som om erhållen skulle ge alla tillgång till en abonnentens konto, enligt en call Verizon center företrädare, som talade på villkor av anonymitet eftersom de inte har tillstånd att tala med pressen.
Flera säkerhetsexperter informerade om exponering före publicering varnade för telefonen kapning och konto uppköp, vilket kunde göra det möjligt för hackare att bryta sig in i en persons e-post och sociala medier-konton som skyddas även av två-faktor autentisering.
Verizon har över 108 miljoner euro som betalas i efterhand trådlöst kunder.
Sex mappar för varje månad från januari fram till juni innehöll flera dagliga loggfiler, tydligen inspelning av kundsamtal från olika regioner, baserat på platsen för företagets datacenter, inklusive Florida och Sacramento. Varje post innehåller också hundratals fält för ytterligare uppgifter, inklusive kundens hemadress, e-postadresser, vilken typ av ytterligare Verizon tjänster abonnenten har, aktuellt saldo på sitt konto, och om en abonnent har en Verizon federala regeringen konto, för att nämna några. Ett område som också dök upp för att spela in en kund är “frustration betyg,” genom att upptäcka om vissa sökord talas av en kund under ett samtal.
Även om de loggar in som refereras till kundens röst inspelningar, det fanns inget ljud filer som finns på servern.
Några av de register som var “maskerad” i vad som verkar vara en redaktionen insats för att förhindra ett obehörigt röjande av privat information. Men de flesta av kundens register som är helt eller delvis synliga.
Ted Stället, en Demokratisk kongressledamot och datavetenskap stora, sade exponering var “mycket oroande.”
“Jag kommer att be Rättsväsendet Utskottet att anordna en hearing på denna fråga, eftersom Kongressen måste ta reda på omfattningen av det som hänt och att se till att det inte händer igen”, sa han till ZDNet.
Stället, också en fraga sa: “jag skulle vilja veta om min data har överträtts.”
Verizon sa att det var att utreda hur dess att kundens data felaktigt lagrade på Amazon Web Services (AWS) server som “en del av en auktoriserad och pågående projekt” för att förbättra sin kundservice.
“Verizon förutsatt att säljaren med vissa data för att utföra detta arbete och auktoriserade säljaren för att ställa upp AWS lagring som en del av detta projekt,” sade en talesman. “Tyvärr, säljarens anställd felaktigt inställt sina AWS lagring för att tillåta extern åtkomst.”
Ett konto från en ledande Verizon anställd med kunskap om situationen sade att företaget inte var medveten om att uppgifterna var att exfiltrated eller exporteras, och Verizon hade ingen kontroll över servern.
Telefonen jätte sade att den “överväldigande majoriteten av information i de uppgifter som inte har några externa värde.”
“Det är en del av personlig information data set”, sade talespersonen, “men som nämnts tidigare, det finns inget som tyder på att information har har äventyrats.”
Verizon skulle inte säga hur det är “maskerade” data, med hänvisning till säkerhetsskäl.
Nice sa att det var för att utreda exponeringen. En talesman sade att ingen av dess system eller produkter har åsidosatts och “ingen annan Trevlig kunddata var inblandade.”
Vickery menade dock att det fanns bevis för att data från Orange, en Europeisk telekom leverantören var under en tid även som lagras på den exponerade server, enligt Vickery, vilket tyder data exponering får inte vara begränsade till Verizon. (Orange inte svara på en begäran om kommentar.)
En Trevlig talesman sade senare att uppgifterna var “en del av en demo-systemet”, och inte kommentera ytterligare.
Det är fortfarande oklart vem annars på Fina haft tillgång till servern, eller om uppgifterna har hämtats av någon annan.
Verizon sa att det hade begärt information om vem som hade tillträde till lagring. En talesman sade på måndagen att en undersökning fastställs att “ingen extern part har använt data.” När du trycker på knappen, företaget skulle inte säga hur det kom till denna slutsats.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
0