0
(Bild: Datei Foto)
Eine israelische Technologie-Unternehmen ausgesetzt, die Millionen von Verizon-Kunden-Datensätze, ZDNet gelernt hat.
So viele wie 14 Millionen Datensätze der Teilnehmer, die namens der Handy-Riese die Kunden Dienste in den vergangenen sechs Monaten wurden gefunden auf einem ungeschützten Amazon S3-storage-server-gesteuert von einem Mitarbeiter von Nice Systems, einer Ra ‘ anana, Israel-basierte Unternehmen.
Die Daten downloadbar von jedermann leicht zu erraten web-Adresse.
Schön, was zählt 85 der Fortune-100-Kunden, spielt in zwei Haupt-enterprise-software-Märkten: die Kundenbindung und die finanzkriminalität und compliance einschließlich der Werkzeuge, Vermeidung von Betrug und Geldwäsche. Nizza 2016 Einnahmen war $1,01 Milliarden, bis aus $926.9 Mio. im Vorjahr. Der Finanzdienstleistungssektor ist Schön, die grösste Industrie in Bezug auf Kunden, die mit Telekom-Unternehmen wie Verizon eine Taste vertikal. Das Unternehmen hat mehr als 25.000 Kunden in über 150 Ländern.
Privatsphäre Wachhunde verknüpft haben, das Unternehmen auf mehrere Regierung, die Geheimdienste, und es ist bekannt, eng mit Videoüberwachung und Handy knacken Firmen Hacking Team und Cellebrite. In der regulatorischen Einreichungen bei der Securities and Exchange Commission, Nett darauf hingewiesen, dass Sie nicht kontrollieren kann, was die Kunden mit Ihrer software. “Unsere Produkte können sich auch absichtlich missbraucht oder missbraucht von Kunden, die unsere Produkte nutzen”, sagte Schön in seinem Jahresbericht.
Chris Vickery, Leiter der cyber-Risiko-Forschung bei der Sicherheitsfirma UpGuard, die die Daten, vertraulich gesagt, Verizon, die für die Exposition kurz nachdem es entdeckt wurde im späten Juni.
Es dauerte über eine Woche, bevor die Daten schließlich war gesichert.
Die Kundendatensätze enthalten waren, die in den log-Dateien, die erzeugt wurden, wenn Verizon-Kunden in den letzten sechs Monaten rief Kundendienst. Diese Interaktionen werden aufgezeichnet, abgerufen, analysiert und von Nizza, der sagt, dass es “merkt die Absicht, und extrahieren und nutzen, Erkenntnisse zu liefern, die Auswirkungen in Echtzeit.” Verizon nutzt diese Daten, um zu überprüfen, Konto-Inhaber und den Kundenservice zu verbessern.
Enthält jeder Datensatz eines Kunden (name, Handy-Nummer sowie Ihre Konto-PIN — die, wenn Sie gewonnen gewähren würde jemand Zugriff auf ein Abonnenten-Konto, nach einem Verizon-call-center-Vertreter, wer Sprach unter der Bedingung der Anonymität, wie Sie waren nicht befugt zu sprechen, an die Presse.
Mehrere security-Experten informiert über die Belichtung vor der Veröffentlichung gewarnt, Telefon-hijacking und account-übernahmen, die es ermöglicht Hackern den Einbruch in eine person, die E-Mail-und social-media-Konten auch geschützt durch zwei-Faktor-Authentifizierung.
Verizon hat über 108 Millionen post-paid wireless-Kunden.
Sechs Ordner für jeden Monat von Januar bis Juni enthaltene täglich mehrere log-Dateien, offensichtlich Aufzeichnung Kunde ruft aus verschiedenen US-Regionen, basierend auf dem Standort des Unternehmens-Rechenzentren, einschließlich Florida und Sacramento. Jeder Datensatz enthält auch Hunderte von Feldern zusätzliche Daten, einschließlich Kunden, Anschrift, E-Mail-Adressen, welche Art von zusätzlichen Verizon services, einer der Abonnenten, die den aktuellen Saldo Ihres Kontos, und wenn Sie ein Abonnent hat einen Verizon Bundesregierung Konto, um ein paar zu nennen. Ein Feld erschien auch zur Aufnahme eines Kunden “Frust-score” von erkennen, wenn bestimmte Schlüsselwörter gesprochen werden, die ein Kunde während eines Anrufs.
Obwohl die Protokolle verwiesen, Kunden Sprachaufnahmen, gab es keine audio-Dateien auf dem server gefunden.
Einige der Datensätze wurden “maskiert” in, was scheint, eine Schwärzung Mühe zu verhindern, dass eine unbefugte Weitergabe von privaten Informationen. Aber die meisten der Kunden Einträge sind teilweise oder ganz sichtbar.
Ted Lieu, eine Demokratische Kongressabgeordnete und computer science major, sagte die Exposition sei “sehr beunruhigend.”
“Ich werde zu den Fragen des Rechtsausschusses auf eine mündliche Verhandlung zu diesem Thema, weil der Kongress muss, um herauszufinden, die Größe und den Umfang von dem, was passiert ist, und um sicherzustellen, dass es nicht wieder passieren”, sagte er ZDNet.
Statt, auch ein Verizon Kunde, sagte: “ich würde gerne wissen, ob meine Daten verletzt wurde.”
Verizon sagte, es wurde untersucht, wie die Daten seiner Kunden wurde falsch gespeichert, die auf der Amazon Web Services (AWS) – server als “Teil eines genehmigten und Laufenden Projekts” Verbesserung seines Kundenservice.
“Verizon sofern der Verkäufer mit bestimmten Daten, die zur Durchführung dieser Arbeit und ermächtigt den Verkäufer zur Einrichtung von AWS storage als Teil dieses Projekts”, sagte ein Sprecher. “Leider ist der Verkäufer Mitarbeiter falsch eingestellt, die die AWS-Speicher erlauben den externen Zugriff.”
Ein Konto von einem senior Verizon-Mitarbeiter mit Kenntnis der situation sagte, dass das Unternehmen war nicht bewusst, dass die Daten wurde exfiltrated oder exportiert wird, und Verizon hatte keine Kontrolle über den server.
Der Telefon-Riese sagte, dass die “überwältigende Mehrheit der Informationen, die im Datensatz keine externen Wert.”
“Es gibt einige persönliche Informationen in den Daten gesetzt”, sagte der Sprecher, “aber wie bereits erwähnt, gibt es keine Anzeichen dafür, dass die Daten kompromittiert wurde.”
Verizon würde auch nicht sagen, wie es “maskierten” Daten, unter Berufung auf Sicherheitsbedenken.
Nett gesagt es war auch die Untersuchung der Exposition. Ein Sprecher sagte, dass keines Ihrer Systeme oder Produkte verletzt wurden und “keine anderen Netten Kunden-Daten beteiligt war.”
Vickery, sagte jedoch, dass es war der Beweis, dass Daten von Orange, eine Europäische Telekom-Anbieter war, für eine Zeit, auch gespeichert auf dem server ausgesetzt, nach Vickery, was auf die Daten der Belichtung möglicherweise nicht beschränkt auf Verizon. (Orange reagierte nicht auf eine Anfrage für Kommentar.)
Ein Netter Sprecher sagte später, dass die Daten “Teil eines demo-Systems”, und nicht weiter kommentieren.
Es bleibt unklar, wer in Nizza hatte den Zugriff auf den server, oder wenn Sie die Daten heruntergeladen werden, indem jemand anderes.
Verizon sagte, dass es angefordert hatte, Informationen darüber, wer Zugriff auf den Speicher. Ein Sprecher sagte am Montag, dass eine Untersuchung “festgestellt, keine andere fremde auf die Daten zugreifen.” Wenn Sie gedrückt wird, das Unternehmen würde nicht sagen, wie es zu diesem Schluss gekommen.
Kontaktieren Sie mich sicher
Zack Whittaker erreicht werden kann sicher auf das Signal und WhatsApp auf 646-755-8849, und seine PGP-fingerprint für E-Mail ist: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UNTERSUCHUNGEN
Durchgesickert TSA-Dokumente enthüllen Flughafen in New York die Welle der Sicherheitslücken
US-Regierung geschoben tech-Unternehmen zu übergeben source code
An der US-Grenze: Diskriminiert, inhaftiert, durchsucht und verhört
Millionen von Verizon-Kunden-Datensätze ausgesetzt Sicherheitslücken
Treffen die düsteren tech-Broker liefern Sie Ihre Daten an die NSA
In der globalen terror-watchlist, die heimlich Millionen Schatten
FCC-Vorsitzenden gewählt zu verkaufen, Ihren browsing-Verlauf — so fragten wir, um zu sehen, seine
Mit einem einzigen wiretap Auftrag, den US-Behörden abgehört 3,3 Millionen Anrufe
198 Millionen Amerikaner Treffer von ‘größte’ Wähler-Leck records
Großbritannien bestanden hat der ‘most extreme überwachung Gesetz jemals verabschiedet in einer Demokratie”
Microsoft sagt “keine bekannten ransomware’ läuft auf Windows-10 S — so haben wir versucht, es zu hacken
Durchgesickerten Dokument zeigt, Großbritannien Pläne für eine breitere internet-überwachung
0