Un entrepreneur Sprint a laissé par erreur des milliers de factures de téléphone cellulaire américaines sur Internet – TechCrunch

Un entrepreneur travaillant pour le géant de la téléphonie cellulaire Sprint a stocké sur un serveur cloud non protégé des centaines de milliers de factures de téléphones portables d’abonnés à AT & T, Verizon et T-Mobile.

Le compartiment de stockage contenait plus de 261 300 documents, dont la grande majorité étaient des factures de téléphone appartenant à des abonnés de téléphones portables datant d'aussi loin que 2015. Cependant, le compartiment, hébergé sur Amazon Web Services (AWS), n'était pas protégé par un mot de passe. accéder aux données à l'intérieur.

On ne sait pas combien de temps le seau a été exposé.

Les factures – contenant les noms, adresses et numéros de téléphone, ainsi que de nombreux historiques d'appels inclus – ont été collectées dans le cadre d'une offre permettant aux abonnés des cellules de basculer vers Sprint, selon les documents de marque Sprint trouvés sur le serveur. Les documents expliquaient comment le géant des cellules payerait les frais de résiliation anticipée de l’abonné pour rompre son contrat de service de cellule actuel, une tactique de vente commune utilisée par les fournisseurs de cellules.

Dans certains cas, nous avons trouvé d’autres documents sensibles, tels qu’un relevé bancaire et une capture d’écran d’une page Web contenant les noms d’utilisateur, les mots de passe et les codes confidentiels des abonnés – qui, ensemble, permettaient d’accéder au compte du client.

La société de tests d'intrusion basée au Royaume-Uni, Fidus Information Security, a trouvé les données exposées, mais il n'a pas été facile de déterminer qui était le propriétaire du compartiment. Fidus a révélé la défaillance de sécurité à Amazon, qui a informé le client de l'exposition – sans la nommer. Le seau a ensuite été fermé.

Une facture de téléphone de Verizon et d’AT & T de deux clients. (Image: fournie)

Une facture T-Mobile trouvée sur les serveurs exposés. Une poignée de factures Sprint ont également été trouvées. (Image: fournie)

Après une brève analyse de la mémoire cache, nous avons trouvé un document qui disait simplement: «TEST». Lorsque nous avons analysé le fichier via un vérificateur de métadonnées, il a révélé le nom de la personne qui avait créé le document – un chargé de compte chez Deardorff Communications, l'agence de marketing chargée de la promotion Sprint.

Une fois contacté, Jeff Deardorff, président de Deardorff Communications, a confirmé que sa société était propriétaire du seau et que l'accès était restreint plus tôt mercredi.

«J’ai lancé une enquête interne pour déterminer la cause fondamentale de ce problème et nous examinons également nos politiques et procédures pour nous assurer qu’une telle situation ne se reproduise plus», a-t-il déclaré à TechCrunch dans un courrier électronique.

Compte tenu des informations exposées concernant les clients des quatre plus grands géants de la cellule, nous avons contacté chaque société. AT & T n'a pas fait de commentaire et T-Mobile n'a pas répondu à une demande de commentaire. Le porte-parole de Verizon, Richard Young, a déclaré que la société "examinait actuellement" la question et aurait des détails "dès qu'elle sera disponible". (TechCrunch appartient à Verizon.)

Une fois contacté, un porte-parole de Sprint ne divulguerait pas la nature de sa relation avec Deardorff ni ne ferait de commentaires sur l'enregistrement au moment de la rédaction.

On ne sait pas pourquoi les données ont été exposées en premier lieu. Il n’est pas rare que les compartiments de stockage AWS soient mal configurés en étant configurés sur «public» et non «privé».

«La tendance à la hausse des données sensibles accessible au public est préoccupante, bien que Amazon ait publié des outils pour lutter contre cela», a déclaré Harriet Lester, directrice de la recherche et du développement chez Fidus. "Ce scénario était légèrement différent de l'habituel car il était difficile d'identifier le propriétaire du compartiment, mais heureusement, l'équipe de sécurité d'AWS a pu transmettre le rapport au propriétaire en quelques heures et l'accès public a été fermé peu de temps après."

Nous avons demandé à Deardorff si son entreprise envisageait d'informer les personnes dont les informations ont été révélées par la défaillance de la sécurité. Nous n'avons pas reçu de réponse immédiatement.

Lire la suite:

Traduit de la source : https://techcrunch.com/2019/12/04/sprint-contractor-cell-phone-bills-exposed/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *