Подрядчик Sprint по ошибке оставил тысячи счетов за сотовый телефон в Интернете.

Подрядчик, работающий на сотового гиганта Sprint, хранит на незащищенном облачном сервере сотни тысяч счетов сотовых телефонов абонентов AT & T, Verizon и T-Mobile.

В хранилище было более 261 300 документов, подавляющее большинство из которых составляли телефонные счета, принадлежащие абонентам сотовой связи, начиная с 2015 года. Но хранилище, размещенное на Amazon Web Services (AWS), не было защищено паролем, что позволяло кому-либо для доступа к данным внутри.

Не известно, как долго ковш был открыт.

Счета, которые содержали имена, адреса и номера телефонов, а также многие из них, включали историю звонков, были собраны как часть предложения, позволяющего абонентам сотовой связи переключаться на Sprint, согласно документам под брендом Sprint, найденным на сервере. В документах объясняется, как сотовый гигант будет оплачивать абонентскую плату за досрочное расторжение, чтобы разорвать действующий контракт на сотовую связь, что является обычной тактикой продаж, используемой сотовыми провайдерами.

В некоторых случаях мы обнаружили другие конфиденциальные документы, такие как выписка с банковского счета и снимок экрана веб-страницы, на которой были указаны онлайновые имена пользователей, пароли и ПИН-коды учетных записей, что в совокупности могло бы обеспечить доступ к учетной записи клиента.

Компания по тестированию на проникновение в Великобритании Фидус Информационная безопасность обнаружил разоблаченные данные, но не сразу было понятно, кому принадлежало ведро. Fidus раскрыл ошибку безопасности Amazon, которая проинформировала клиента о разоблачении, не назвав их. Ведро было впоследствии закрыто.



Счета за телефон Verizon и AT & T от двух клиентов. (Изображение: поставляется)

Счет T-Mobile найден на открытых серверах. Горстка счетов Спринта также была найдена. (Изображение: поставляется)

После краткого обзора кеша мы нашли один документ, в котором было просто «ТЕСТ». Когда мы проверили файл с помощью средства проверки метаданных, в нем было указано имя человека, который создал документ – руководителя аккаунта в Deardorff Communications, маркетинговое агентство занимается продвижением Sprint.

Джефф Дирдорф, президент Deardorff Communications, подтвердил, что его компании принадлежит ведро и что доступ в среду был ограничен ранее.

«Я начал внутреннее расследование, чтобы определить основную причину этой проблемы, и мы также пересматриваем наши политики и процедуры, чтобы убедиться, что что-то подобное не повторится», – сказал он TechCrunch в электронном письме.

Учитывая открытую информацию, касающуюся клиентов четырех крупнейших сотовых гигантов, мы связались с каждой компанией. AT & T не комментирует, а T-Mobile не отвечает на запрос о комментариях. Пресс-секретарь Verizon Ричард Янг сказал, что компания «в настоящее время рассматривает» этот вопрос и получит подробную информацию «как только она станет доступна». (TechCrunch принадлежит Verizon.)

Когда докладчик достигнет Sprint, он не станет раскрывать характер своих отношений с Дирдорфом и не прокомментирует запись на момент написания статьи.

Не известно, почему данные были обнародованы в первую очередь. Нередко неправильно настраиваются сегменты хранилища AWS, если для них установлено значение «public», а не «private».

«Восходящий тренд, который мы наблюдаем в том, что конфиденциальные данные являются общедоступными, вызывает обеспокоенность, несмотря на то, что Amazon выпускает инструменты для борьбы с этим», – сказала Харриет Лестер, директор по исследованиям и разработкам в Fidus. «Этот сценарий немного отличался от обычного, так как было сложно определить владельца корзины, но, к счастью, сотрудники службы безопасности AWS смогли передать отчет владельцу в течение нескольких часов, и вскоре после этого был закрыт доступ».

Мы спросили Дирдорфа, планирует ли его компания сообщить тем, чья информация была раскрыта из-за ошибки безопасности. Мы не сразу получили ответ.

Подробнее: