秒送号(miaosong.cn)自媒体平台12月5日消息,一个为电池业巨头Sprint工作的承包商在不受保护的云服务器上存储了成千上万AT&T,Verizon和T-Mobile用户的手机账单。
该存储桶中有超过261,300个文档,其中绝大多数是可追溯到2015年的属于蜂窝用户的电话账单。但是,存储在Amazon Web Services(AWS)上的存储桶没有受密码保护,允许任何人访问内部数据。
不知道铲斗暴露了多长时间。
根据服务器上发现的Sprint品牌文件,这些账单-包含姓名,地址和电话号码,并且包括许多通话记录-是作为要约的一部分收集的,以使手机订户可以切换到Sprint。这些文件解释了蜂窝巨头如何支付订户的提早终止费,以破坏他们当前的蜂窝服务合同,这是蜂窝提供商常用的销售策略。
在某些情况下,我们发现了其他敏感文件,例如银行对帐单以及包含订户的在线用户名,密码和帐户PIN的网页的屏幕截图-结合起来可以访问客户的帐户。
总部位于英国的渗透测试公司Fidus Information Security找到了暴露的数据,但尚不清楚谁是谁。Fidus向Amazon披露了安全漏洞,后者将客户的暴露情况告知了客户,但未命名。随后将桶关闭。
在对缓存进行了简短的回顾之后,我们发现了一个文档,简称为“ TEST”。当我们通过元数据检查器运行文件时,它显示了创建该文档的人的名字-Deardorff Communications的客户经理,负责Sprint促销的营销机构。
到达时,Deardorff Communications总裁Jeff Deardorff确认他的公司拥有这个存储桶,并且访问于周三早些时候受到限制。
他在一封电子邮件中告诉TechCrunch:“我已经进行了内部调查以确定该问题的根本原因,我们还正在审查我们的政策和程序,以确保不会再次发生这种情况。”
考虑到四大电池巨头的客户所涉及的公开信息,我们联系了两家公司。AT&T没有发表评论,T-Mobile也没有回应评论请求。Verizon的发言人Richard Young表示,该公司正在“对此事进行审查”,并会“尽快提供详细信息。” (TechCrunch由Verizon拥有)。
Sprint发言人丽莎·贝洛特(Lisa Belot)不会透露与迪亚多夫(Deardorff)关系的性质,但表示“已确保该错误已得到纠正”。
尚不清楚为什么首先要公开数据。通过将AWS存储桶设置为“公共”而非“私有”来配置错误的情况并不少见。
Fidus研发总监Harriet Lester表示:“尽管亚马逊发布了有助于打击这种情况的工具,但我们仍然看到公开获取敏感数据的趋势令人担忧。” “这种情况与通常情况略有不同,因为很难识别存储桶的所有者,但是值得庆幸的是,AWS的安全团队能够在数小时内将报告传递给所有者,并且不久之后就关闭了公共访问。”
我们询问了Deardorff,他的公司是否计划通知那些因安全漏洞而暴露其信息的人。我们没有立即收到回复。
