Инцидент произошел из-за того, что сторонний подрядчик забыл ограничить внешний доступ к серверу Amazon S3.
Персональная информация прядка 14 млн клиентов крупнейшего американского мобильного оператора Verizon оказалась доступна в Сети в связи с тем, что сторонний подрядчик не ограничил внешний доступ к серверу Amazon S3.
По данным компании UpGuard, обнаружившей утечку, сервер принадлежит израильской компании NICE Systems, занимающейся поставками инструментов для массового наблюдения репрессивным режимам, а также предоставляющей программное обеспечение для вспомогательных подразделений и колл-центров.
Доступ к серверу и хранящимся на нем данным можно было получить с помощью ссылки с указанием поддомена verizon-sftp. Корневой каталог сервера содержал различные файлы и папки, включающие архивы с текстовыми файлами. Размер некоторых из них в распакованном виде достигал 23 ГБ. Текстовые файлы содержали имена клиентов Verizon, адреса, информацию учетных записей и в некоторых случаях PIN-коды. Помимо данных, на сервере также хранились записи звонков пользователей в службу поддержки Verizon.
Кроме этого, на том же сервере была обнаружена папка с внутренними документами французского мобильного оператора Orange S.A - еще одного партнера NICE Systems.
По словам экспертов, Verizon была проинформирована об инциденте 13 июня нынешнего года, однако компания устранила утечку только спустя девять дней - 22 июня. По словам представителя Verizon, утечка затронула только 6 млн клиентов.
Amazon Simple Storage Service (Amazon S3) – объектное хранилище, предоставляемое Amazon Web Services. Сервис позволяет хранить любой объем данных и извлекать данные через Интернет.
Собираем и анализируем опыт профессионалов ИБ