Provedor de serviços VOIP expõe 350 milhões de registros de clientes

Provedor de serviços VOIP expõe 350 milhões de registros de clientes. Registros de clientes da Internet Broadvoice foi encontrado exposto na Elasticsearch.

Um banco de dados de mais de 350 milhões de registros de clientes expostos a partir do cluster Elasticsearch desprotegido pertencente à empresa de protocolo de voz sobre Internet Broadvoice.

O banco de dados foi descoberto pelo pesquisador de segurança Bob Diachenko, em 1º de outubro. Ele observou que o cluster desprotegido do Elasticsearch continha várias informações consideradas desprotegidas.

Quais são os dados expostos

Uma quantidade de 350 milhões de registros de clientes expostos, incluindo nomes de chamadores, números de telefone e localização. Um dos bancos de dados contém centenas de milhares de mensagens de voz e outras informações confidenciais, como receitas médicas e empréstimos financeiros.

O banco de dados foi descoberto por Diachenko em 1 de outubro de 2020, e o mesmo foi divulgado para Broadvoice e foi protegido até 4 de outubro.

A seguir está a lista completa de dados expostos

  • Nome completo do chamador
  • Número de identificação de chamada
  • Número de telefone
  • data de nascimento
  • Estado
  • Cidade
  • Nome do chamador (nome completo, nome da empresa ou um nome genérico, como “chamador sem fio”)
  • Número de telefone do chamador
  • Um nome ou identificador para a caixa de correio de voz (por exemplo, um primeiro nome ou etiqueta geral, como “equipe clínica” ou “compromissos”)
  • Identificadores internos

Quando os dados são expostos ao público, há uma escolha de acesso de terceiros não autorizados, se os invasores acessarem os dados, eles os usarão para lançar ataques direcionados.

Broadvoice disse que “levamos a privacidade e a segurança de dados a sério. Soubemos que no dia 1º de outubro um pesquisador de segurança conseguiu acessar um subconjunto de dados do b-hive. Os dados foram armazenados em um serviço de armazenamento inadvertidamente desprotegido em 28 de setembro e foram protegidos em 2 de outubro ”.

Broadvoice é uma empresa privada que fornece serviços como serviços telefônicos, UCaaS, SIP Trunking, Rede e Segurança, junto com soluções de Call Center Virtual para permitir que clientes empresariais transmitam / recebam comunicações de voz e vídeo através de uma conexão de Internet de banda larga ou telefone celular.

Independentemente do tamanho da organização, qualquer pessoa que use a tecnologia em nuvem está sujeita ao risco de exposição não intencional. 

 

Como posso proteger os arquivos em meu bucket do Amazon S3?

Quer ter certeza de que meus buckets e objetos do Amazon Simple Storage Service (Amazon S3) estão seguros? 
Os recursos privados devem permacer privados, então: Como podemos limitar as permissões aos meus recursos do Amazon S3? Como podemos monitorar o acesso a esses recursos?
Pensano nisto a Amazon  publicou um artigo sobre como proteger os arquivos em meu bucket do Amazon S3 detalha as restrições de acesso, o qual reproduzimos abaixo.

 

Restrinja o acesso aos seus recursos S3

Por padrão, todos os buckets S3 são privados e podem ser acessados ​​apenas por usuários com acesso concedido explicitamente. Ao usar a AWS, é uma prática recomendada restringir o acesso aos seus recursos às pessoas que absolutamente precisam deles. Siga o princípio do menor privilégio .

Restrinja o acesso aos seus buckets ou objetos S3:

  • Escreva políticas de usuário do AWS Identity and Access Management (IAM) que especificam os usuários que podem acessar buckets e objetos específicos. As políticas IAM fornecem uma maneira programática de gerenciar permissões do Amazon S3 para vários usuários. Para obter mais informações sobre como criar e testar políticas de usuário, consulte o AWS Policy Generator e o IAM Policy Simulator .
  • Escreava políticas de bucket que definem o acesso a buckets e objetos específicos. Você pode usar uma política de bucket para conceder acesso em contas AWS, conceder permissões públicas ou anônimas e permitir ou bloquear o acesso com base nas condições. Para obter mais informações sobre como criar e testar políticas de bucket, consulte o AWS Policy Generator .
    Nota: Você pode usar uma instrução deny em uma política de bucket para restringir o acesso a usuários IAM específicos, mesmo se os usuários tiverem acesso concedido em uma política IAM.
  • Usando o Amazon S3 Block Public Access como uma forma centralizada de limitar o acesso público. As configurações do Block Public Access substituem as políticas de bucket e permissões de objeto Certifique-se de habilitar Bloquear acesso público para todas as contas e intervalos que você não deseja que sejam acessíveis publicamente.
  • Defina listas de controle de acesso (ACLs) em seus intervalos e objetos.
    Observação: se você precisar de uma maneira programática de gerenciar permissões, use políticas IAM ou políticas de bucket em vez de ACLs. No entanto, você pode usar ACLs quando sua política de intervalo exceder o tamanho máximo de arquivo de 20 KB. Ou você pode usar ACLs para conceder acesso aos logs de acesso do servidor Amazon S3 ou logs do Amazon CloudFront .

Considere estas práticas recomendadas ao usar ACLs para proteger seus recursos:

  • Certifique-se de revisar as permissões ACL que permitem ações do Amazon S3 em um bucket ou um objeto. Para obter a lista de permissões de ACL e as ações que elas permitem, consulte Quais permissões posso conceder?
  • Seja rigoroso sobre quem tem acesso de leitura e gravação aos seus buckets.
  • Considere cuidadosamente seu caso de uso antes de conceder acesso de Leitura ao grupo Todos , porque isso permite que qualquer pessoa acesse o bloco ou objeto.
  • Nunca permita acesso de gravação ao grupo Todos . Essa configuração permite que qualquer pessoa adicione objetos ao seu buckets, pelo qual você será cobrado. Essa configuração também permite que qualquer pessoa exclua objetos do buckets.
  • Nunca permita o acesso de gravação ao grupo de usuários AWS autenticado . Este grupo inclui qualquer pessoa com uma conta AWS ativa, não apenas usuários IAM em sua conta. Para controlar o acesso de usuários IAM em sua conta, use uma política IAM. Para obter mais informações sobre como o Amazon S3 avalia as políticas IAM, consulte Como o Amazon S3 autoriza uma solicitação .

Além de usar políticas,Block Public Access e ACLs, você também pode restringir o acesso a ações específicas das seguintes maneiras:

  • Habilite a exclusão de MFA , que requer que um usuário se autentique usando um dispositivo de autenticação multifator (MFA) antes de excluir um objeto ou desativar o controle de versão do bucket.
  • Configure o acesso à API protegido por MFA , que exige que os usuários se autentiquem com um dispositivo AWS MFA antes de chamar certas operações de API do Amazon S3.
  • Se você compartilhar temporariamente um objeto S3 com outro usuário, crie um URL predefinido para conceder acesso limitado ao objeto. Para obter mais informações, consulte Compartilhar um objeto com outras pessoas .

Monitore seus recursos S3

Para rastrear quais ações são realizadas em seus intervalos e objetos, você pode ativar o registro e monitorar seus recursos das seguintes maneiras:

Use criptografia para proteger seus dados

Se o seu caso de uso requer criptografia durante a transmissão, o Amazon S3 oferece suporte ao protocolo HTTPS, que criptografa os dados em trânsito de e para o Amazon S3. Todos os SDKs e ferramentas da AWS usam HTTPS por padrão.

Nota: Se você usar ferramentas de terceiros para interagir com o Amazon S3, entre em contato com os desenvolvedores para confirmar se suas ferramentas também suportam o protocolo HTTPS.

Se o seu caso de uso requer criptografia para dados em repouso, o Amazon S3 oferece criptografia do lado do servidor (SSE) . As opções de SSE incluem SSE-S3 , SSE-KMS ou SSE-C . Você pode especificar os parâmetros SSE ao gravar objetos no intervalo. Você também pode habilitar a criptografia padrão em seu intervalo com SSE-S3 ou SSE-KMS .

Se o seu caso de uso requer criptografia do lado do cliente, consulte Protegendo dados usando criptografia do lado do cliente .

 

Fonte: GBHackers & AWS

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Guardicore descobre vulnerabilidade permitindo hackear controle remoto de TV
  2. Sistemas do Superior Tribunal de Justiça (STJ) foram alvo de hackers r

Deixe sua opinião!