برای مشاهده لیست علاقه مندی ها وارد شوید!

مشاهده محصولات فروشگاه
0

هیچ محصولی در سبد خرید نیست.

افشای اطلاعات شرکت Broadvoice

دسته بندی :بلاگ 3 نوامبر 2020 علیرضا 704

وجود خطا در پیکربندی یکی از پایگاه‌ داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویس‌های VoiP فعالیت می‌کند، باعث افشای ۳۵۰ میلیون رکورد اطلاعاتی از مشتریان این شرکت شد.

یک محقق امنیتی، کلاسترهای پایگاه داده موتور جستجوی Elasticsearche متعلق به این شرکت را که فاقد تنظیمات امنیتی لازم بوده اند را در تاریخ اول اکتبر پیدا کرده است. وجود این خطای پیکربندی در سیستم های شرکت، امکان دسترسی آسان به پایگاه های داده آن را برای مهاجمان سایبری فراهم کرده است. یکی از این پایگاه‌های داده شامل بیش از ۲۷۵ میلیون رکورد اطلاعاتی بوده است. هر کدام از این رکوردها نیز حاوی نام کامل تماس گیرنده، شناسه، شماره تلفن، ایالت و شهر مشتریان Broadvoice بوده اند.

مسأله نگران کننده دیگر، افشای پایگاه داده دیگری است که شامل بیش از ۲ میلیون رکورد اطلاعاتی (نام و شماره تلفن) و همچنین ۲۰۰ هزار رکورد متن مکالمه های تماس کاربران این شرکت بوده است. بر اساس اظهارات محققان امنیتی، تعدادی از این رونوشت ها شامل اطلاعات حساس هستند. بعضی از این اطلاعات، پیام های صوتی می باشند که کاربران برای کلینیک ها و شرکت های خدمات مالی ارسال کرده بودند.

محققان معتقدند پایگاه داده افشا شده حاوی اطلاعات بسیار مهمی است که می‌تواند به اجرای حملات فیشینگ هدفمند کمک کند. این اطلاعات فرصت خوبی را برای مهاجمان فراهم می کند تا به وسیله آنها بتوانند از کاربران و مالکان شان درخواست باج کنند. همچنین مهاجمان می توانند با جعل هویت سایر مشتریان این شرکت، اطلاعات ورود به حساب کاربری آنها یا اطلاعات مالی شان را به دست آورند.

برای مثال، مهاجمان می‌توانند به عنوان Broadvoice یا سایر مشتریان این شرکت، با مشتریان دیگر ارتباط برقرار کرده و آنها را متقاعد کنند تا اطلاعاتی همچون اطلاعات ورود به حساب کاربری یا اطلاعات مالی شان را دریافت کنند. حتی می‌توان از بعضی از این اطلاعات مثل کد بیمه و جزییات وام‌ های دریافتی برای سرقت هویت، آن هم بدون نیاز به اجرای حملات فیشینگ استفاده کرد.

شرکت Broadvoice بلافاصله پس از آگاهی از این خطای امنیتی نسبت به آن واکنش نشان داده و آن را برطرف کرده است. مدیرعامل این شرکت ادعا می‌کند این اطلاعات به صورت ناخواسته در یک پایگاه داده امن سازی نشده ذخیره شده بودند که این موضوع برای بررسی‌های بیشتر، به اطلاع مقام‌ های قانونی رسیده است. وی همچنین گفته: «در حال حاضر هیچ دلیلی وجود ندارد که ثابت کند از این داده‌ها سوءاستفاده شده است».

او در بخش دیگری از سخنان خود بیان کرده که: «ما برای تحلیل این موضوع، در حال همکاری با یک شرکت جرم شناسی رایانه ای هستیم و به زودی اطلاعات و اخبار بیشتری را در اختیار مشتریان و شرکای خودمان قرار خواهیم داد. در حال حاضر امکان گمانه زنی درباره این مسأله وجود ندارد. عمیقاً از مشکلات ایجاد شده برای مشتریان مان اظهار تأسف می‌کنیم».

 

منبع: infosecurity-magazine



علیرضا

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

    لینک کوتاه:
    0