База даних VOIPO розкрила мільйони журналів викликів і SMS, системні дані

Загальнодоступна база даних VOIPO, яка не була належним чином захищена, оприлюднила все, від журналів викликів до облікових даних внутрішньої системи.

Цього місяця директор із довіри та безпеки в Cloudflare Джастін Пейн, який також є творцем Блог безпеки Rainbow Tabl.es, сказав, що неналежним чином захищена база даних ElasticSearch, яка належить каліфорнійським IP-сервісам постачальника було знайдено за допомогою пошукової системи Shodan, за допомогою якої можна знайти підключені до Інтернету пристрої та системи онлайн.

Знадобилося лише швидке дослідження, щоб знайти величезну скарбницю даних. Пейн виявив не лише журнали викликів VOIP, а й записи SMS/MMS-повідомлень і відкритий текстовий обліковий запис внутрішньої системи.

Загалом 6,7 мільйона документів містили журнали викликів, включаючи часткові вихідні номери, часткові номери пунктів призначення, часові позначки та деталі тривалості викликів.

База даних також містила шість мільйонів журналів SMS і MMS, починаючи з 2015 року, включаючи мітки часу та вміст повідомлень.

Приблизно два мільйони документів журналу посилаються на імена хостів, імена користувачів і паролі в відкритому вигляді, а також ключі API для внутрішніх систем. Індексний файл, що містить цю інформацію, було відкрито з червня 2018 року.

Індекс також перераховував пристрої для конференц-зв’язку, які використовуються для сеансів VOIP, із детальною інформацією про IP-адреси пристроїв, MAC-адреси, часові мітки та значення агентів користувача для пристроїв.

На щастя, дані викликів VOIP були принаймні частково очищені перед завантаженням у базу даних, тому використовувати цю інформацію для зловмисних цілей було б важко. Дослідник не бачив жодних значень двофакторної автентифікації (2FA), зареєстрованих разом із даними SMS/MMS, але витік даних не виходить за рамки можливостей.

Дивись також: Поліція не може змусити вас розблокувати телефон райдужною оболонкою ока, обличчям або пальцем

«Якби зловмисник мав доступ до цих даних у рамках цілеспрямованої атаки на особу чи організацію, про яку він знав використовуючи цю послугу, вони могли б спостерігати в режимі реального часу за SMS-повідомленнями, які містили код 2FA," Пейн сказав. «Гіпотетично це могло дозволити зловмиснику обійти 2FA в обліковому записі користувача».

Проте викриття внутрішньої інформації є серйознішим. Це могло призвести до повної компрометації будь-якої системи, яка використовувала витік облікових даних, надаючи зловмисникам доступ до конфіденційної інформації компанії.

TechRepublic: Недоліки безпеки розумних будівель створюють ризик для шкіл і лікарень

Відкриту базу даних ElasticSearch було виявлено 8 січня, про що в той же день було повідомлено генеральному директору VOIPO. Компанія швидко зайнялася захистом бази даних і вивела систему з мережі всього за кілька годин.

У VOIPO заявили, що сервер використовувався для розробки та випадково залишився в мережі. Однак компанія визнала, що «дійсні дані» містилися в базі даних, хоча і не уточнила, які дані, зокрема, є правдивою інформацією, отриманою від виробництва та послуг.

CNET: Аджит Пай з Федеральної комісії з зв’язку не буде зустрічатися з Конгресом щодо скандалу з відстеженням телефонних розмов

«Я б припустив, що витік облікових даних, ймовірно, був обліковим записом для виробництва», — сказав дослідник. «Також виявилося, що телефонні журнали SMS/MMS і VOIP, ймовірно, є даними виробництва».

Оновлення 8.32 GMT: Тімоті Дік, генеральний директор і засновник VOIPO, сказав ZDNet, що в дослідженні були «суттєві неточності», які «базувалися на припущеннях».

Попереднє та супутнє покриття

• GoDaddy видаляє ін’єкцію JavaScript, яка відстежує ефективність веб-сайту, але також може її зламати
  
• Fortnite використовується злочинцями для відмивання грошей через V-Bucks
  
• Криптовалютна біржа Cryptopia вимкнена через порушення безпеки