云泄露:Verizon公司超1400万用户信息外泄
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全7月14日讯 Verizon公司超过1400万用户个人资料因第三方供应商云服务器安全配置不当遭到外泄。
网络安全公司UpGuard的网络风险小组根据下载样本中美国电信运营商Verizon公司的客户姓名、地址、帐户信息以及帐户个人身份编号(简称PIN)的具体情况进行平均值分析,并最终断定由于一套云文件存储库存在配置错误,导致目前该公司已经有多达1400万用户数据遭到外泄。该云服务器由Verizon公司第三方电话软件与数据供应商NICE Systems公司持有并负责运营。
(更新消息:截至太平洋标准时间7月12日下午3点,NICE Systems与Verizon双方已经确认了此次信息泄露事故的存在,而Verizon方面的发言人则表示只有600万客户信息遭到曝光。)
UpGuard公司网络风险小组致力于发现泄露至网络之上的各类数据,旨在借此保护相关各方并提高人们对于数字化领域内由网络风险导致的数据安全问题的重视程度。
数据泄露主要危害
这套数据存储库由NICE Systems公司以色列赖阿南纳总部内的工程师负责管理,属于Amazon Web Services的S3存储桶,就目前来看似乎用于记录某类特定客户的呼叫数据。
Verizon公司为全美规模最大的无线服务运营商,其后台与呼叫中心使用的正是NICE Systems提供的技术方案。另外,存储在该服务器当中的法语文本文件还涉及来自巴黎的Orange S.A.电信公司(同为NICE Systems公司的内部数据合作伙伴),主要负责为欧洲及非洲客户提供服务。
除了允许通过此S3存储桶的URL公开访问用户名称、地址及帐户信息等相关风险之外,其中还将用于验证客户身份的Verizon帐户密码与相关电话号码一同列出,这一点尤其值得关注。拥有这些帐户PIN码的诈骗者将能够成功冒充客户向Verizon公司拨打电话以获取帐户访问权限。目前,移动通信领域正越来越多地使用双因素验证机制,一旦这些用户的访问权限丢失显然将带来巨大威胁。
第三方供应商存在风险
最后,此番数据曝光亦成为第三方供应商在处理敏感数据时可能引发风险的有力例证。UpGuard公司在今年6月13日首次向Verizon公司发出了数据泄露的通知意见,但令人不安的是后者直到6月22日才彻底关闭这一外泄源。第三方供应商风险属于商业风险;共享敏感商业数据并不会转移这种风险,而只是将其传播至其它合作伙伴处;另外,云数据泄露能够跨越各个大洲并一次性影响多家企业。
NICE Systems公司以往曾经提供过用于支持国家监控计划内相关侵入行为的技术方案,而这样的背景无疑令此次数据外泄更加令人不安。
消费者们应该对Verizon公司将客户信息内的私人数据通过可下载存储库形式委托给其它美国主要企业进行离岸记录的作法感到震惊,特别是考虑到这种公开分享URL的方式意味着相关受害者永远无法知晓到底是哪些企业在共享这些信息。
发现过程
2017年6月8日,UpGurd公司网络风险研究主管克里斯·维克里发现一套基于云端的Amazon S3数据存储库,其配置为可完全下载并允许公开进行访问。这意味着只需要输入对应的S3 URL,任何一方即可轻松访问其数据库中的数TB敏感内容。
该存储库的子域名为“verizon-sftp”,这充分表明了文件的具体来源。通过查看,该存储库内包含六个文件夹,且标题根据时间命名(自2017年1月到2017年6月)。另外,其中还存在部分格式为.zip的文件,具体包括“VoiceSessionFiltered.zip”以及“WebMobileContainment.zip”等。虽然这些文件无法通过.zip直接解压,但可以将格式更改为.gzip并利用对应程序完成内容提取。
“verizon-sftp”存储库
以月份命名的各个文件夹包含与当月份对应的每日记录子目录。而在每日子目录内则通常存在数十个压缩文件。根据种种迹象来看,这应该是一套自动每日记录文件存储库。例如,文件夹的最后登录时间为2017年6月22日,其名称对应为“June-2017“。
“Apr-2017”文件夹中的每日日志文件夹
在解压缩之后,这些日志记录文件夹内容释放出大小与压缩前基本相当的文本文件,其中最大的文件达到23
GB。通过进一步分析,其整体结构逐渐趋于明朗:大型文本似乎由各语音识别日志文件组成,即“TimeInQueue”与“TransferToAgent”等打给客户支持热线的个人通话内容。通过对子域名https://voiceportalfh.verizon.com进行ping操作,可进一步确定用于生成此数据的语音激活技术。
但这还仅仅只是开始。日志当中还包含大量Verizon帐户细节信息,具体包括客户姓名、地址、电话号码以及一系列用于指示客户满意度的信息追踪字段。例如“沮丧级别”与“等待安装光纤”等状态。
另外,Verizon还设定有多种数字评级值,并以“真”、“假”、“是”与“否”进行标注。不过在这些大规模呼叫记录当中,最敏感的数据(例如‘PIN码’与‘CustCode’等)受到了屏蔽。
一个通话记录,最敏感的数据被屏蔽
但仍有相当一部分记录并未屏蔽全部细节信息。对于规模较小的呼叫记录,即完全没有采取此类屏蔽机制,访问者能够轻松获取“PIN码”及其它类似的重要数据。而这类帐户PIN码属于评判来电者是否身为合法客户的重要依据,负责确保欺诈者无法访问或更改Verizon帐户设置。而其它字段及其答案(例如‘呼叫中心密码’)则表明哪些帐户持有人要求利用更高的客户服务电话安全标准进行帐户设置修改。立足于此,一旦诈骗者拥有这部分日志信息,其即可轻松判断哪些客户更容易受到危害。更可怕的是,在单独一份这样的文件当中,就包含有6000条未经屏蔽的PIN码记录。
一个通话记录,暴露最敏感的数据
法国电信运营商Orange公司在该S3服务器当中存储的数据则相对缺少话题性。正如前文所提到,Orange公司为NICE Systems的另一位合作伙伴,且与Verizon在欧洲数据市场上存在竞争关系。
源自巴黎电信Orange SA的法语数据
虽然就目前来看,Orange公司泄露的数据并不是非常敏感,但是这些信息被包含在了由Verizon所使用的存储库当中。
第三方安全的重要性
这套关键性数据存储库暴露出的最大问题在于,其并非由企业本身所持有,而是归第三方供应商负责掌控着运营。作为第三方供应商的NICE Systems公司则一直开放该AWS S3存储桶的公开访问权限,并导致大量Verizon客户的个人信息遭到泄露。
通过大部分网站副本与市场营销资料来判断,NICE Systems公司确实是一家为呼叫中心提供专用技术方案的厂商,而呼叫中心则正是Verizon业务链中的重要组成部分。根据美国证券交易委员会(简称SEC)的相关文件显示,NICE Systems将Verizon称为“主要合作伙伴”,且负责为该电信运营商提供用于监控呼叫中心运作效率的员工管理追踪工具等软件产品。NICE企业软件套件当中还提供其它多种软件方案,包括数据与语音分析软件,这标志着NICE方面确实在呼叫中心客户最为重视的技术层面投入了大量研发资源。
除了上述直接业务,这家以色列公司还凭借着一系列相当知名的对美企业并购与Verizon在北美市场上建立起极为紧密的业务合作关系。2016年,NICE公司收购了inContact与VPI两家公司,二者此前都曾为Verizon提供后台办公与呼叫中心业务软件。
简而言之,NICE
Systems公司是一位值得信赖的Verizon合作伙伴,但美方可能已经意识到这些合作伙伴能够访问其数据。这类第三方供应商每一天都会接触到大量毫不知情的消费者的个人敏感信息。而企业自身的网络风险与企业同第三方供应商间的网络风险在本质上并无区别。供应商方面引发的任何数据泄露都会对客户造成严重影响,并与企业自身泄露事故一样给利益相关者造成巨大损失。
除了客户姓名、地址与电话号码等可由诈骗者及营销人员直接使用的敏感信息之外,Verizon帐户PIN码的泄露还导致其辛苦建立起的信任体系瞬间崩溃。在这样的背景之下,欺诈者可以要求Verizon呼叫中心的操作人员配合其完成几乎所有操作,包括“寄换SIM卡”以进行诈骗,或者如《威格报》提到的破坏双因素验证机制:
“双因素验证机制中最大的缺点在于无线运营商本身。如果您能够入侵攻击目标所选择的无线运营商帐户,例如AT&T、Verizon或者T-Mobile,则可进一步劫持目标接收到的任何通话或者文本内容。对于像Signal这样的手机应用,诈骗者完全能够将其与给定电话号码绑定起来,进而劫持整个帐户。与此同时,运营商在采用双因素验证方面一直表现得非常迟缓,而且更倾向于使用PIN码或者其它易被绕过的安全方案。由于两大网络服务公司控制了大部分市场份额,因此其确实没有动力积极提升服务安全水平。”
需要强调的是,应用程序与数字化帐户由于第三方供应商数据曝光事故而受到牵连的状况绝不是什么科幻猜想,这正是当前网络风险的真实体现。Verizon/NICE Systems双方此次造成的云存储数据泄露也再一次证明,我们倾注心力所打造出的高科技系统已经在日常生活中的各个层面带来极为深远的影响。
E安全推荐文章
官网:www.easyaq.com
2017年7月