0
(Image: photo d’archives)
Un Israélien de technologie de l’entreprise est exposée à des millions de Verizon aux dossiers des clients, ZDNet a appris.
Plus de 14 millions de notices d’abonnés qui a appelé le téléphone du géant des services à la clientèle dans les six derniers mois ont été trouvés sur un non protégés de stockage Amazon S3 serveur contrôlé par un employé de Nice Systems, raanana, Israël-fondé de l’entreprise.
Les données sont téléchargeables par quelqu’un de facile à deviner, adresse web.
Nice, qui compte 85 du Fortune 100, comme les clients, se joue dans les deux principaux logiciels d’entreprise les marchés: l’engagement des clients et le crime financier et de conformité, y compris des outils de prévenir la fraude et le blanchiment d’argent. Nice 2016 chiffre d’affaires était de 1,01 milliard de dollars, contre 926.9 millions l’année précédente. Le secteur des services financiers est Agréable, l’industrie la plus importante en termes de clients, avec des entreprises de télécommunications tels que Verizon, un des principaux verticale. La société a plus de 25 000 clients dans environ 150 pays.
Confidentialité les chiens de garde ont relié l’entreprise à plusieurs agences d’intelligence du gouvernement, et il est appelé à travailler en étroite collaboration avec la surveillance et téléphone de fissuration des entreprises de Piratage de l’Équipe et de Cellebrite. Dans les documents réglementaires déposés auprès de la Securities and Exchange Commission, Nice a noté qu’il ne peut pas contrôler ce que les clients ne avec son logiciel. “Nos produits peuvent également être intentionnellement abusé par les clients qui utilisent nos produits”, a déclaré Nice, dans son rapport annuel.
Chris Vickery, directeur de la cyber-risques de la recherche à l’entreprise de sécurité UpGuard, qui a trouvé les données privées, a dit à Verizon de l’exposition, peu de temps après il a été découvert à la fin du mois de juin.
Il a fallu plus d’une semaine avant que les données a finalement été fixé.
Les dossiers de clients ont été contenues dans les fichiers journaux générés lorsque les clients de Verizon dans les six derniers mois appelé le service client. Ces interactions sont enregistrés, obtenues et analysées par la Belle, qui dit qu’il peut “réaliser l’intention et l’extraire et exploiter des idées pour offrir de l’impact en temps réel.” Verizon utilise que les données pour vérifier les titulaires de compte et à améliorer le service à la clientèle.
Chaque enregistrement inclus le nom d’un client, un numéro de téléphone cellulaire, et leur compte de PIN — ce qui, le cas échéant, serait d’accorder à quiconque l’accès à un compte abonné, selon Verizon centre d’appel représentant, qui a parlé sous couvert d’anonymat, car ils n’étaient pas autorisés à parler à la presse.
Plusieurs experts en sécurité informé de l’exposition avant la publication averti de téléphone détournement de compte et de prise de contrôle, ce qui pourrait permettre à des pirates d’accéder à un courriel de la personne et les comptes de médias sociaux protégés par une authentification à deux facteurs.
Verizon a plus de 108 millions de post-payé clients des services sans fil.
Six dossiers, un pour chaque mois de janvier à juin, contient plusieurs fichiers log quotidiens, apparemment, l’enregistrement des appels des clients provenant de différentes régions des états-unis, basé sur le site de la société des centres de données, y compris la Floride et Sacramento. Chaque enregistrement contenait également des centaines de champs de données supplémentaires, y compris un client, l’adresse, les adresses e-mail, quels autres Verizon services de l’abonné dispose d’, le solde de leur compte, et si l’abonné dispose d’un Verizon gouvernement fédéral compte, pour n’en nommer que quelques-unes. Un champ est également apparu à l’enregistrement d’un client “frustration score,” en détectant si certains mots-clés sont parlées par un client lors d’un appel.
Bien que les journaux référencés à la clientèle des enregistrements de voix, il n’y avait pas de audio fichiers présents sur le serveur.
Certains de ces dossiers ont été “masqué” dans ce qui semble être une rédaction effort pour empêcher la divulgation non autorisée de renseignements confidentiels. Mais la plupart des dossiers des clients sont en partie ou entièrement visible.
Ted Lieu, un membre du congrès Démocratique et informatique majeure, a déclaré l’exposition était “très inquiétant.”
“Je vais demander à la Commission Judiciaire de tenir une audience sur cette question, car le Congrès a besoin de connaître l’ampleur et la portée de ce qui s’est passé et de faire en sorte que cela ne se reproduise pas”, disait-il ZDNet.
La place, aussi un client de Verizon, a déclaré: “je voudrais savoir si mes données a été violée.”
Verizon a dit qu’il enquêtait sur la façon dont ses données clients a été mal stocké sur Amazon Web Services (AWS), le serveur en tant que “partie d’un titulaire et projet en cours” afin d’améliorer son service à la clientèle.
“Verizon a fourni le vendeur avec certaines données pour effectuer ce travail, et a autorisé le vendeur pour configurer AWS storage dans le cadre de ce projet,” a déclaré un porte-parole. “Malheureusement, le vendeur est employé incorrectement réglé leur stockage AWS pour permettre l’accès externe.”
Un compte à partir d’un principal employé de Verizon avec la connaissance de la situation, a déclaré que la société était pas au courant que les données soient exfiltrated ou exportées, et Verizon n’avait aucun contrôle sur le serveur.
Le géant de la téléphonie a déclaré que “l’écrasante majorité de l’information dans l’ensemble de données n’a pas de valeur.”
“Il y a certaines informations personnelles dans le jeu de données”, a déclaré le porte-parole, “mais, comme indiqué précédemment, il n’existe aucune indication que l’information a été compromise”.
Verizon aussi ne dirais pas comment il “masqué” de données, invoquant des raisons de sécurité.
Nice a dit qu’il était aussi à enquêter sur l’exposition. Un porte-parole a déclaré qu’aucun de ses systèmes ou de produits ont été violées, et “il n’est de Nice les données du client a été impliqué.”
Vickery a dit, cependant, qu’il y avait des preuves que les données de l’Orange, un Européen de l’opérateur de télécommunication a été pour un temps aussi stockées sur la partie exposée du serveur, selon Vickery, ce qui suggère que les données d’exposition ne peut pas être limitée à Verizon. (Orange n’a pas répondu à une demande de commentaire.)
Un Joli porte-parole a dit plus tard que les données ont été “partie d’un système de démonstration”, et ne pas faire d’autres commentaires.
Il reste difficile de savoir qui d’autre à Nice, a eu accès au serveur, ou si les données ont été téléchargées par quelqu’un d’autre.
Verizon a dit qu’il avait demandé des informations sur les personnes qui avaient accès à l’espace de stockage. Un porte-parole a déclaré lundi qu’une enquête a déterminé que “aucune autre partie externe accessible les données.” Quand la touche est pressée, la société ne dirais pas comment il est arrivé à cette conclusion.
Contactez-moi en toute sécurité
Zack Whittaker, qui peut être atteint de manière sécurisée sur le Signal et WhatsApp à 646-755-8849, et son PGP fingerprint pour email est: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET ENQUÊTES
Fuite de la TSA, les documents révèlent aéroport New-yorkais de la vague de défaillances de sécurité
Le gouvernement AMÉRICAIN a poussé entreprises de haute technologie à la main sur le code source
À la frontière des états-unis: Discrimination, arrêté, fouillé, interrogé
Des Millions de client de Verizon dossiers exposés dans la sécurité lapse
Répondre à l’ombre tech courtiers qui offrent vos données à la NSA
À l’intérieur de la terreur mondiale de la liste de surveillance qui secrètement les ombres des millions
FCC président voté pour vendre votre historique de navigation — nous avons donc demandé à voir son
Avec une seule écoute de l’ordre, les autorités américaines écouté 3,3 millions d’appels téléphoniques
198 millions d’Américains touchés par ‘plus jamais’ électeur dossiers de fuite
La grande-bretagne a passé le plus extrême de surveillance de la loi jamais passé dans une démocratie”
Microsoft dit “aucun connu ransomware’ fonctionne sur Windows 10 S — nous avons donc essayé de le pirater
Document confidentiel révèle royaume-UNI, les plans pour la plus large de la surveillance d’internet
0