Provedor de serviços VOIP expõe 350 milhões de registros de clientes. Registros de clientes da Internet Broadvoice foi encontrado exposto na Elasticsearch.
Um banco de dados de mais de 350 milhões de registros de clientes expostos a partir do cluster Elasticsearch desprotegido pertencente à empresa de protocolo de voz sobre Internet Broadvoice.
O banco de dados foi descoberto pelo pesquisador de segurança Bob Diachenko, em 1º de outubro. Ele observou que o cluster desprotegido do Elasticsearch continha várias informações consideradas desprotegidas.
Quais são os dados expostos
Uma quantidade de 350 milhões de registros de clientes expostos, incluindo nomes de chamadores, números de telefone e localização. Um dos bancos de dados contém centenas de milhares de mensagens de voz e outras informações confidenciais, como receitas médicas e empréstimos financeiros.
O banco de dados foi descoberto por Diachenko em 1 de outubro de 2020, e o mesmo foi divulgado para Broadvoice e foi protegido até 4 de outubro.
A seguir está a lista completa de dados expostos
- Nome completo do chamador
- Número de identificação de chamada
- Número de telefone
- data de nascimento
- Estado
- Cidade
- Nome do chamador (nome completo, nome da empresa ou um nome genérico, como “chamador sem fio”)
- Número de telefone do chamador
- Um nome ou identificador para a caixa de correio de voz (por exemplo, um primeiro nome ou etiqueta geral, como “equipe clínica” ou “compromissos”)
- Identificadores internos
Quando os dados são expostos ao público, há uma escolha de acesso de terceiros não autorizados, se os invasores acessarem os dados, eles os usarão para lançar ataques direcionados.
Broadvoice disse que “levamos a privacidade e a segurança de dados a sério. Soubemos que no dia 1º de outubro um pesquisador de segurança conseguiu acessar um subconjunto de dados do b-hive. Os dados foram armazenados em um serviço de armazenamento inadvertidamente desprotegido em 28 de setembro e foram protegidos em 2 de outubro ”.
Broadvoice é uma empresa privada que fornece serviços como serviços telefônicos, UCaaS, SIP Trunking, Rede e Segurança, junto com soluções de Call Center Virtual para permitir que clientes empresariais transmitam / recebam comunicações de voz e vídeo através de uma conexão de Internet de banda larga ou telefone celular.
Independentemente do tamanho da organização, qualquer pessoa que use a tecnologia em nuvem está sujeita ao risco de exposição não intencional.
Como posso proteger os arquivos em meu bucket do Amazon S3?
Os recursos privados devem permacer privados, então: Como podemos limitar as permissões aos meus recursos do Amazon S3? Como podemos monitorar o acesso a esses recursos?
Pensano nisto a Amazon publicou um artigo sobre como proteger os arquivos em meu bucket do Amazon S3 detalha as restrições de acesso, o qual reproduzimos abaixo.
Restrinja o acesso aos seus recursos S3
Por padrão, todos os buckets S3 são privados e podem ser acessados apenas por usuários com acesso concedido explicitamente. Ao usar a AWS, é uma prática recomendada restringir o acesso aos seus recursos às pessoas que absolutamente precisam deles. Siga o princípio do menor privilégio .
Restrinja o acesso aos seus buckets ou objetos S3:
- Escreva políticas de usuário do AWS Identity and Access Management (IAM) que especificam os usuários que podem acessar buckets e objetos específicos. As políticas IAM fornecem uma maneira programática de gerenciar permissões do Amazon S3 para vários usuários. Para obter mais informações sobre como criar e testar políticas de usuário, consulte o AWS Policy Generator e o IAM Policy Simulator .
- Escreava políticas de bucket que definem o acesso a buckets e objetos específicos. Você pode usar uma política de bucket para conceder acesso em contas AWS, conceder permissões públicas ou anônimas e permitir ou bloquear o acesso com base nas condições. Para obter mais informações sobre como criar e testar políticas de bucket, consulte o AWS Policy Generator .
Nota: Você pode usar uma instrução deny em uma política de bucket para restringir o acesso a usuários IAM específicos, mesmo se os usuários tiverem acesso concedido em uma política IAM. - Usando o Amazon S3 Block Public Access como uma forma centralizada de limitar o acesso público. As configurações do Block Public Access substituem as políticas de bucket e permissões de objeto Certifique-se de habilitar Bloquear acesso público para todas as contas e intervalos que você não deseja que sejam acessíveis publicamente.
- Defina listas de controle de acesso (ACLs) em seus intervalos e objetos.
Observação: se você precisar de uma maneira programática de gerenciar permissões, use políticas IAM ou políticas de bucket em vez de ACLs. No entanto, você pode usar ACLs quando sua política de intervalo exceder o tamanho máximo de arquivo de 20 KB. Ou você pode usar ACLs para conceder acesso aos logs de acesso do servidor Amazon S3 ou logs do Amazon CloudFront .
Considere estas práticas recomendadas ao usar ACLs para proteger seus recursos:
- Certifique-se de revisar as permissões ACL que permitem ações do Amazon S3 em um bucket ou um objeto. Para obter a lista de permissões de ACL e as ações que elas permitem, consulte Quais permissões posso conceder?
- Seja rigoroso sobre quem tem acesso de leitura e gravação aos seus buckets.
- Considere cuidadosamente seu caso de uso antes de conceder acesso de Leitura ao grupo Todos , porque isso permite que qualquer pessoa acesse o bloco ou objeto.
- Nunca permita acesso de gravação ao grupo Todos . Essa configuração permite que qualquer pessoa adicione objetos ao seu buckets, pelo qual você será cobrado. Essa configuração também permite que qualquer pessoa exclua objetos do buckets.
- Nunca permita o acesso de gravação ao grupo de usuários AWS autenticado . Este grupo inclui qualquer pessoa com uma conta AWS ativa, não apenas usuários IAM em sua conta. Para controlar o acesso de usuários IAM em sua conta, use uma política IAM. Para obter mais informações sobre como o Amazon S3 avalia as políticas IAM, consulte Como o Amazon S3 autoriza uma solicitação .
Além de usar políticas,Block Public Access e ACLs, você também pode restringir o acesso a ações específicas das seguintes maneiras:
- Habilite a exclusão de MFA , que requer que um usuário se autentique usando um dispositivo de autenticação multifator (MFA) antes de excluir um objeto ou desativar o controle de versão do bucket.
- Configure o acesso à API protegido por MFA , que exige que os usuários se autentiquem com um dispositivo AWS MFA antes de chamar certas operações de API do Amazon S3.
- Se você compartilhar temporariamente um objeto S3 com outro usuário, crie um URL predefinido para conceder acesso limitado ao objeto. Para obter mais informações, consulte Compartilhar um objeto com outras pessoas .
Monitore seus recursos S3
Para rastrear quais ações são realizadas em seus intervalos e objetos, você pode ativar o registro e monitorar seus recursos das seguintes maneiras:
- Configure os logs do AWS CloudTrail . Por padrão, o CloudTrail rastreia apenas ações no nível do bucket. Para rastrear ações no nível do objeto (como GetObject), habilite os eventos de dados do Amazon S3 .
- Habilite o registro de acesso ao servidor Amazon S3 . Para obter mais informações sobre a revisão desses logs, consulte Formato do log de acesso ao servidor .
- Use o AWS Config para monitorar ACLs de bucket e políticas de bucket para quaisquer violações que permitem acesso público de leitura ou gravação. Para obter mais informações, consulte s3-bucket-public-read- forbidden e s3-bucket-public-write-proibido .
- Use o CloudTrail com outros serviços, como Amazon CloudWatch ou AWS Lambda, para acionar processos específicos quando certas ações são realizadas em seus recursos S3. Para obter mais informações, consulte Log de operações de nível de objeto do Amazon S3 usando eventos do CloudWatch .
- Se você tiver um plano de suporte empresarial ou empresarial , pode usar a verificação de permissões de intervalo do Amazon S3 do AWS Trusted Advisor . Esta verificação notifica você sobre intervalos com permissões de acesso aberto.
Observação: essa verificação de consultor confiável não monitora as políticas de bucket que substituem ACLs de bucket.
Use criptografia para proteger seus dados
Se o seu caso de uso requer criptografia durante a transmissão, o Amazon S3 oferece suporte ao protocolo HTTPS, que criptografa os dados em trânsito de e para o Amazon S3. Todos os SDKs e ferramentas da AWS usam HTTPS por padrão.
Nota: Se você usar ferramentas de terceiros para interagir com o Amazon S3, entre em contato com os desenvolvedores para confirmar se suas ferramentas também suportam o protocolo HTTPS.
Se o seu caso de uso requer criptografia para dados em repouso, o Amazon S3 oferece criptografia do lado do servidor (SSE) . As opções de SSE incluem SSE-S3 , SSE-KMS ou SSE-C . Você pode especificar os parâmetros SSE ao gravar objetos no intervalo. Você também pode habilitar a criptografia padrão em seu intervalo com SSE-S3 ou SSE-KMS .
Se o seu caso de uso requer criptografia do lado do cliente, consulte Protegendo dados usando criptografia do lado do cliente .
Fonte: GBHackers & AWS
Veja também:
- Hybrid Workplace: Security, Privacy and Productivity
- Houve a nomeação dos 5 Diretores da #ANPD
- “61 minutos da segurança” – Os desafios de SI de hoje e amanhã
- Google alerta sobre falha grave do Bluetooth ‘BleedingTooth’ no kernel do Linux
- Home office: 30% das empresas seguirão com esse modelo após a pandemia
- II Cyber Defense Conference das Américas
- Hackers iranianos explorando a falha de ‘Zerologon’
- NIST divulga guia atualizado para privacidade e controles de segurança
- Mais de 40% de todas as VPNs Android gratuitas vazam dados pessoais
- Software de segurança de Internet GRÁTIS para windows 2020
- Airbnb Data Blunder expõe caixas de entrada de hosts
- Hospital dos EUA paga resgate para não ter PII publicados da Dark Web
Deixe sua opinião!