安全研究人员最近发现,一家第三方公司将时代华纳有线电视公司数百万用户的记录和个人信息暴露在一个不安全的云存储库中。
这些信息是在第三方供应商BroadSoft运营的两个数据库中发现的,BroadSoft是一家全球通信软件和服务提供商。时代华纳有线客户信息的宝库总计超过600g的文件。
数据库中包含了一些可能影响时代华纳有线用户的个人身份信息。该数据库列出了用户名、电子邮件地址、媒体访问控制(MAC)地址、设备序列号和金融交易号码。
云安全公司RedLock首席执行官兼联合创始人Varun Badhwar在接受《国际商业时报》采访时表示:“由于不安全或配置错误的公共云资源导致的泄漏不断发生,探索其原因是值得的。”
“正如大多数组织已经为其内部网络采用了先进的威胁防御解决方案一样,他们也应该考虑实施为云提供高级威胁防御的解决方案。但现实情况是,大多数组织都没有这样做。”
虽然社会安全号码和信用卡信息似乎没有在任何一个数据库中暴露,但考虑到公开的联系方式和位置信息的数量,仍然有理由感到担忧。
这些数据库还包含了似乎与BroadSoft的操作有关的信息,包括SQL数据库转储、访问日志和似乎包含外部系统凭据的代码,这可能会使BroadSoft控制的其他信息和系统处于危险之中。
其中一个数据库还包含了据信是BroadSoft位于印度班加罗尔的一处设施的闭路电视画面。
Kromtech安全中心发现了这些数据库,并指出任何知道或找到URL的人都可以访问这些存储库。“经过身份验证的用户”还可以下载完整的文件集合,包括客户信息。
大部分客户信息似乎来自MyTWC应用程序,这是一款允许客户在移动设备上支付药品、升级服务、访问语音邮件、查看频道列表和调整Wi-Fi设置的移动应用程序。据Kromtech的安全研究人员称,客户信息可以追溯到2010年,其中包括2017年7月7日的最新记录。
Kromtech的首席通讯官鲍勃·迪亚琴科(Bob Diachenko)在一份声明中表示:“我们看到越来越多的例子表明,坏人如何利用泄露或被黑客入侵的数据进行一系列犯罪或其他不道德的目的。”
“在这种情况下,工程师们不仅意外泄露了客户和合作伙伴的数据,还泄露了内部凭证,犯罪分子可以很容易地利用这些凭证监控或访问公司的网络和基础设施。”
错误配置的云存储库导致敏感信息暴露并被公众访问,这远远不是第一次。大约在BroadSoft的存储库被发现的同一时间,在一个不安全的数据库中也发现了一批属于退伍军人和情报专家的简历。
今年早些时候,《华尔街日报》的出版商唐琼斯(Down jones)也遭遇了类似的错误,导致数百万客户的敏感个人和财务信息泄露。
今年7月,一家第三方公司泄露了来自威瑞森的1400万份客户记录,包括账户密码。同月,超过300万名WWE摔跤粉丝的个人信息也在一个暴露的数据库中被发现。
Badhwar表示,RedLock云安全情报研究团队发现,40%的组织将公共云存储资源暴露给公众。他们还发现,公共云环境中82%的数据库没有加密,31%的数据库对互联网开放。
安全 印度 威瑞森通信公司 云计算
