افشای اطلاعات مشتریان شرکت Broadvoice

وجود خطا در پیکربندی یکی از پایگاه‌ داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویس‌های VoiP فعالیت می‌کند، باعث افشای ۳۵۰ میلیون رکورد اطلاعاتی از مشتریان این شرکت شد.

یک محقق امنیتی، کلاسترهای پایگاه داده موتور جستجوی Elasticsearche متعلق به این شرکت را که فاقد تنظیمات امنیتی لازم بوده اند را در تاریخ اول اکتبر پیدا کرده است. وجود این خطای پیکربندی در سیستم های شرکت، امکان دسترسی آسان به پایگاه های داده آن را برای مهاجمان سایبری فراهم کرده است. یکی از این پایگاه‌های داده شامل بیش از ۲۷۵ میلیون رکورد اطلاعاتی بوده است. هر کدام از این رکوردها نیز حاوی نام کامل تماس گیرنده، شناسه، شماره تلفن، ایالت و شهر مشتریان Broadvoice بوده اند.

مسأله نگران کننده دیگر، افشای پایگاه داده دیگری است که شامل بیش از ۲ میلیون رکورد اطلاعاتی (نام و شماره تلفن) و همچنین ۲۰۰ هزار رکورد متن مکالمه های تماس کاربران این شرکت بوده است. بر اساس اظهارات محققان امنیتی، تعدادی از این رونوشت ها شامل اطلاعات حساس هستند. بعضی از این اطلاعات، پیام های صوتی می باشند که کاربران برای کلینیک ها و شرکت های خدمات مالی ارسال کرده بودند.

محققان معتقدند پایگاه داده افشا شده حاوی اطلاعات بسیار مهمی است که می‌تواند به اجرای حملات فیشینگ هدفمند کمک کند. این اطلاعات فرصت خوبی را برای مهاجمان فراهم می کند تا به وسیله آنها بتوانند از کاربران و مالکان شان درخواست باج کنند. همچنین مهاجمان می توانند با جعل هویت سایر مشتریان این شرکت، اطلاعات ورود به حساب کاربری آنها یا اطلاعات مالی شان را به دست آورند.

برای مثال، مهاجمان می‌توانند به عنوان Broadvoice یا سایر مشتریان این شرکت، با مشتریان دیگر ارتباط برقرار کرده و آنها را متقاعد کنند تا اطلاعاتی همچون اطلاعات ورود به حساب کاربری یا اطلاعات مالی شان را دریافت کنند. حتی می‌توان از بعضی از این اطلاعات مثل کد بیمه و جزییات وام‌ های دریافتی برای سرقت هویت، آن هم بدون نیاز به اجرای حملات فیشینگ استفاده کرد.

شرکت Broadvoice بلافاصله پس از آگاهی از این خطای امنیتی نسبت به آن واکنش نشان داده و آن را برطرف کرده است. مدیرعامل این شرکت ادعا می‌کند این اطلاعات به صورت ناخواسته در یک پایگاه داده امن سازی نشده ذخیره شده بودند که این موضوع برای بررسی‌های بیشتر، به اطلاع مقام‌ های قانونی رسیده است. وی همچنین گفته: «در حال حاضر هیچ دلیلی وجود ندارد که ثابت کند از این داده‌ها سوءاستفاده شده است».

او در بخش دیگری از سخنان خود بیان کرده که: «ما برای تحلیل این موضوع، در حال همکاری با یک شرکت جرم شناسی رایانه ای هستیم و به زودی اطلاعات و اخبار بیشتری را در اختیار مشتریان و شرکای خودمان قرار خواهیم داد. در حال حاضر امکان گمانه زنی درباره این مسأله وجود ندارد. عمیقاً از مشکلات ایجاد شده برای مشتریان مان اظهار تأسف می‌کنیم».

 

منبع: infosecurity-magazine

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0