افشای اطلاعات شرکت Broadvoice

وجود خطا در پیکربندی یکی از پایگاه داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویسهای VoiP فعالیت میکند، باعث افشای ۳۵۰ میلیون رکورد اطلاعاتی از مشتریان این شرکت شد.
یک محقق امنیتی، کلاسترهای پایگاه داده موتور جستجوی Elasticsearche متعلق به این شرکت را که فاقد تنظیمات امنیتی لازم بوده اند را در تاریخ اول اکتبر پیدا کرده است. وجود این خطای پیکربندی در سیستم های شرکت، امکان دسترسی آسان به پایگاه های داده آن را برای مهاجمان سایبری فراهم کرده است. یکی از این پایگاههای داده شامل بیش از ۲۷۵ میلیون رکورد اطلاعاتی بوده است. هر کدام از این رکوردها نیز حاوی نام کامل تماس گیرنده، شناسه، شماره تلفن، ایالت و شهر مشتریان Broadvoice بوده اند.
مسأله نگران کننده دیگر، افشای پایگاه داده دیگری است که شامل بیش از ۲ میلیون رکورد اطلاعاتی (نام و شماره تلفن) و همچنین ۲۰۰ هزار رکورد متن مکالمه های تماس کاربران این شرکت بوده است. بر اساس اظهارات محققان امنیتی، تعدادی از این رونوشت ها شامل اطلاعات حساس هستند. بعضی از این اطلاعات، پیام های صوتی می باشند که کاربران برای کلینیک ها و شرکت های خدمات مالی ارسال کرده بودند.
محققان معتقدند پایگاه داده افشا شده حاوی اطلاعات بسیار مهمی است که میتواند به اجرای حملات فیشینگ هدفمند کمک کند. این اطلاعات فرصت خوبی را برای مهاجمان فراهم می کند تا به وسیله آنها بتوانند از کاربران و مالکان شان درخواست باج کنند. همچنین مهاجمان می توانند با جعل هویت سایر مشتریان این شرکت، اطلاعات ورود به حساب کاربری آنها یا اطلاعات مالی شان را به دست آورند.
برای مثال، مهاجمان میتوانند به عنوان Broadvoice یا سایر مشتریان این شرکت، با مشتریان دیگر ارتباط برقرار کرده و آنها را متقاعد کنند تا اطلاعاتی همچون اطلاعات ورود به حساب کاربری یا اطلاعات مالی شان را دریافت کنند. حتی میتوان از بعضی از این اطلاعات مثل کد بیمه و جزییات وام های دریافتی برای سرقت هویت، آن هم بدون نیاز به اجرای حملات فیشینگ استفاده کرد.
شرکت Broadvoice بلافاصله پس از آگاهی از این خطای امنیتی نسبت به آن واکنش نشان داده و آن را برطرف کرده است. مدیرعامل این شرکت ادعا میکند این اطلاعات به صورت ناخواسته در یک پایگاه داده امن سازی نشده ذخیره شده بودند که این موضوع برای بررسیهای بیشتر، به اطلاع مقام های قانونی رسیده است. وی همچنین گفته: «در حال حاضر هیچ دلیلی وجود ندارد که ثابت کند از این دادهها سوءاستفاده شده است».
او در بخش دیگری از سخنان خود بیان کرده که: «ما برای تحلیل این موضوع، در حال همکاری با یک شرکت جرم شناسی رایانه ای هستیم و به زودی اطلاعات و اخبار بیشتری را در اختیار مشتریان و شرکای خودمان قرار خواهیم داد. در حال حاضر امکان گمانه زنی درباره این مسأله وجود ندارد. عمیقاً از مشکلات ایجاد شده برای مشتریان مان اظهار تأسف میکنیم».
منبع: infosecurity-magazine
مطالب زیر را حتما بخوانید:

برخی از این نکات ممکن است واضح به نظر برسند ، اما برای تعامل هر چه بهتر با برنامه های bug bounty مهم هستند. توجه همیشه به تیم برگزار...

در بیشتر مواقع هنگام صحبت در مورد امنیت سایبری، اصطلاح رِد تیم و بُلو تیم (Red team & Blue team) شنیده میشود. این اصطلاحات برای توصیف گروههایی هست که از...

حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این...

با نزدیک شدن به تعطیلات سال نو میلادی و مراجعه مردم برای خریدهای آخر سال که امسال با شیوع بیماری کرونا نیز همزمان شده است، دولتها دائماً به شهروندان گوشزد...

در افسانه ها آمده است که بهترین شکارچیان باگ می توانند گزارش خود را در خواب بنویسند. خوب ، شوخی را کنار بزاریم، در حالی که نوشتن گزارش ها بخش...

یکی از اصطلاحات پرکاربرد در دنیای برنامه نویسی، باگ (Bug) یا نقص نرمافزاری است. این اصطلاح جزو اصطلاحاتی است که تقریبا همیشه در میان صحبتهای برنامه نویسان مورد استفاده قرار میگیرد. زیرا تقریبا هیچ...

وقتی صحبت از گزارش داخلی می شود ، حتماً از برنامه های end-to-end encrypted مانند سیگنال و کی بیس استفاده کنید. Vulnreport by Salesforce داشبورد Vulnreport ابزاری عالی است...

سیستمهای تشخیص نفوذ که به منظور کشف فعالیت های مشکوک می توانند بر فعالیت های شبکه های رایانه ای نظارت کرده و آنها را تجزیه و تحلیل کنند، در واقع...

گوگل برخی قابلیتهای امنیتی را به آخرین نسخه از مرورگر موبایلی کروم افزوده است. این به روزرسانی برای دو سیستم عامل اندروید و آی او اس انجام شده است. به...

منظور از هکرهای کلاه سفید چیست؟ در این مطلب قصد بررسی این موضوع را داریم. یک هکر کلاه سفید عملکردی متفاوت دارد و هدف او از هک نیز چیز دیگری...

مایکروسافت خبر از تولید تراشه های جدید توسط خود داده است. بنا به گفته این شرکت، تولید این تراشه ها عصر جدیدی از امنیت را برای سیستم عامل ویندوز رقم...

آسیبپذیری جدیدی در نرمافزار Waze شناسایی شده است که به هکرها امکان شناسایی هویت کاربران را می دهد. بر اساس گزارش منتشر شده در وب سایت Autoevolution.com، این آسیبپذیری توسط یک مهندس...

- جهت دانلود سریع از VPN استفاده نکنید..
- تمامی فایل ها قبل از درج بررسی شده اند.
- لینک دانلود از دو سرور مختلف است.
- امکان قطع دانلود فایل ها وجود دارد.
- جهت دانلود از IDM استفاده کنید..
- در صورت نیاز با ما تماس بگیرید.
اندازه فایل
نوع فایل
قوانین ارسال دیدگاه در سایت