Dados de 14milhões de clientes da Verizon são expostos na Amazon AWS e podem ser permitir sequestro outras contas on-line

Verizon expõe dados de 14 milhões clientes, incluindo nome, endereço, dados de registro da conta e números PIN, que foram expostos por falha de proteção no Cloud Server AWS.

Chris Vickery, diretor de pesquisa de risco cibernético da UpGuard, descobriu informações mais sensíveis expostas em um “bucked” desprotegido em um servidor Amazon AWS, que inclui inclui – entre outras coisas – nomes, números de telefone e PINs de contas de cerca de 14 milhões de clientes da Verizon.

A informação foi utilizada e deveria ter sido assegurada pela Nice Systems, uma empresa com sede em Israel que foi contratada pela Verizon para melhorar seu atendimento ao cliente.

A Verizon forneceu ao fornecedor certos dados para executar este trabalho e autorizou o fornecedor a configurar o armazenamento AWS como parte deste projeto“, comenta o porta voz da Verizon disse a ZDNet. Infelizmente, o empregado do vendedor configurou incorretamente seu armazenamento AWS para permitir o acesso externo“.

Enquanto a Verizon e a Nice Systems estão tentando minimizar o impacto da revelação e afirmando que não há indícios de que alguém além de Vickery tenha sido afetado, os especialistas em segurança da informação estão apontando que os atacantes poderiam facilmente sequestrar as contas de usuários com o conjunto de dados acima mencionado.

O que é ainda pior: “nesta era de esquemas de autenticação de dois fatores que dependem de SMS, perder o controle de sua conta de telefone celular pode levar a muitos problemas e perda monetária“.

Com os atacantes podendo assumir a conta do celular de um alvo, eles podem receber os códigos de autenticação enviados por serviços de e-mail, redes sociais, empresas de pagamento on-line e bancos.

Como o ex-tecnólogo chefe da FTC, Lorrie Cranor, disse a ZDNet, “no melhor dos casos, é um incômodo:  o telefone para de funcionar e exige vários telefonemas para o serviço de atendimento ao cliente, ao departamento de fraude e uma, duas ou três visitas às lojas onde tenha comprado e tudo resolvido. O pior cenário seria o sequestro sucessivo de muitas de suas outras contas e o roubo de fundos, quando possível, por exemplo, de contas bancária, contas de PayPal e assim por diante.

A exposição de informações altamente sensíveis através de configurações erradas em serviços de nuvem pública, como Amazon S3, está se tornando muito frequente e o mundo está tomando observando. Tornou-se bastante claro que muitos usuários ainda não entendem completamente como configurar os buckeds S3 para evitar a exposição dos dados “, diz o CEO da Dome9, Zohar Alon.

fonte : HelpNetSecurity by Zeljka Zorz 

por MindSec  13/07/2017

 

About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.