Утечку 26 млн сообщений с сервера Voxox в Сан-Диего, штат Калифорния обнаружил немецкий ИБ-исследователь.
На сервере, принадлежащем компании, которая оказывает услуги в области телефонии, хранились SMS с конфиденциальными данными. В базе данных, среди прочего, можно было найти уведомления Amazon об отправленной посылке и ссылкой для ее отслеживания, напоминания о предстоящем визите в клинику, коды сброса паролей учетных записей Microsoft. Открытыми были и номера телефонов получателей. Помимо чтения архивных сообщений, любой, кто имел доступ к базе, мог отслеживать и поток новых SMS.
Немецкий ИБ-исследователь Себастьян Каул нашел базу SMS в поисковой системе Shodan. По его словам, получить доступ к ней мог всякий, кто знал, где искать, так как сервер, на котором она находилась, не был защищен паролем. Кроме того, поиск по базе был весьма удобным – можно было искать по номерам телефонов и отдельным словам.
После обращения TechCrunch, где появилась новость об утечке, Voxox изъяла базу данных из общего доступа. На тот момент в ней хранилось 26 млн сообщений.
В этом случае утечка произошла из-за пренебрежения банальной защитой данных, за которую в компаниях обычно отвечают ИТ-специалисты. Вот уж действительно, собственные сотрудники иной раз опаснее хакеров. Например, в июне мстительный сисадмин ClickMotive перед увольнением удалил с сервера компании несколько сот копий рабочих документов.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных