وجود خطا در پیکربندی یکی از پایگاه داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویسهای VoiP فعالیت میکند، باعث افشای 350 میلیون رکورد اطلاعاتی از مشتریان این شرکت شد.
یک محقق امنیتی، کلاسترهای پایگاه داده موتور جستجوی Elasticsearche متعلق به این شرکت را که فاقد تنظیمات امنیتی لازم بوده اند را در تاریخ اول اکتبر پیدا کرده است. وجود این خطای پیکربندی در سیستم های شرکت، امکان دسترسی آسان به پایگاه های داده آن را برای مهاجمان سایبری فراهم کرده است. یکی از این پایگاههای داده شامل بیش از 275 میلیون رکورد اطلاعاتی بوده است. هر کدام از این رکوردها نیز حاوی نام کامل تماس گیرنده، شناسه، شماره تلفن، ایالت و شهر مشتریان Broadvoice بوده اند.
مسأله نگران کننده دیگر، افشای پایگاه داده دیگری است که شامل بیش از 2 میلیون رکورد اطلاعاتی (نام و شماره تلفن) و همچنین 200 هزار رکورد متن مکالمه های تماس کاربران این شرکت بوده است. بر اساس اظهارات محققان امنیتی، تعدادی از این رونوشت ها شامل اطلاعات حساس هستند. بعضی از این اطلاعات، پیام های صوتی می باشند که کاربران برای کلینیک ها و شرکت های خدمات مالی ارسال کرده بودند.
محققان معتقدند پایگاه داده افشا شده حاوی اطلاعات بسیار مهمی است که میتواند به اجرای حملات فیشینگ هدفمند کمک کند. این اطلاعات فرصت خوبی را برای مهاجمان فراهم می کند تا به وسیله آنها بتوانند از کاربران و مالکان شان درخواست باج کنند. همچنین مهاجمان می توانند با جعل هویت سایر مشتریان این شرکت، اطلاعات ورود به حساب کاربری آنها یا اطلاعات مالی شان را به دست آورند.
برای مثال، مهاجمان میتوانند به عنوان Broadvoice یا سایر مشتریان این شرکت، با مشتریان دیگر ارتباط برقرار کرده و آنها را متقاعد کنند تا اطلاعاتی همچون اطلاعات ورود به حساب کاربری یا اطلاعات مالی شان را دریافت کنند. حتی میتوان از بعضی از این اطلاعات مثل کد بیمه و جزییات وام های دریافتی برای سرقت هویت، آن هم بدون نیاز به اجرای حملات فیشینگ استفاده کرد.
شرکت Broadvoice بلافاصله پس از آگاهی از این خطای امنیتی نسبت به آن واکنش نشان داده و آن را برطرف کرده است. مدیرعامل این شرکت ادعا میکند این اطلاعات به صورت ناخواسته در یک پایگاه داده امن سازی نشده ذخیره شده بودند که این موضوع برای بررسیهای بیشتر، به اطلاع مقام های قانونی رسیده است. وی همچنین گفته: «در حال حاضر هیچ دلیلی وجود ندارد که ثابت کند از این دادهها سوءاستفاده شده است».
او در بخش دیگری از سخنان خود بیان کرده که: «ما برای تحلیل این موضوع، در حال همکاری با یک شرکت جرم شناسی رایانه ای هستیم و به زودی اطلاعات و اخبار بیشتری را در اختیار مشتریان و شرکای خودمان قرار خواهیم داد. در حال حاضر امکان گمانه زنی درباره این مسأله وجود ندارد. عمیقاً از مشکلات ایجاد شده برای مشتریان مان اظهار تأسف میکنیم».
منبع: infosecurity-magazine