Подробности за клиентите на CenturyLink, изложени онлайн, изтекли 2,8 милиона записа

CenturyLink теч на данни.


База данни от 2,8 милиона записа, съдържаща чувствителна информация относно стотици хиляди клиенти на CenturyLink, беше оставена отворена онлайн за всеки, който има достъп до интернет. Записите, съставящи базата данни, са регистрирани от трета страна платформа за уведомяване, използвана от CenturyLink. Те включваха няколко части лична информация, включително име, имейл адрес, телефонен номер и адрес, заедно с конкретна информация за профила.

CenturyLink е технологична компания Fortune 500, която предоставя на жилищни, бизнес и корпоративни клиенти разнообразни продукти и услуги, включително интернет, телефон, кабелна телевизия, облачни решения и сигурност.

Comparitech откри откритата база данни MongoDB в сътрудничество с изследователя по сигурността Боб Диаченко. Откритието е направено на 15 септември и Диаченко уведомява CenturyLink този ден, но базата данни има вече са изложени в продължение на много месеци от този момент. Към 17 септември тя беше затворена.

След като предупредихме CenturyLink и им позволихме да разрешат този проблем, те поискаха да спрем публикуването на този отчет. Това трябваше да даде време на CenturyLink да проведе вътрешно разследване и да отнесе въпроса до FCC, преди да уведоми клиентите си.

Базата данни съдържаше API-журнали с информация за клиента и съдържаше повече от 2,8 милиона записа. Тъй като някои клиенти бяха обект на множество записи, приблизителният брой на засегнатите клиенти е много по-нисък, но все още в стотиците хиляди.

CenturyLink даде на Comparitech следното изявление:

Откакто разбрахме за тази ситуация, ние работихме, за да потвърдим, че проблемът със сигурността е разгледан и провеждаме задълбочено разследване на инцидента. Въпросните данни изглежда са предимно информация за контакт и нямаме основание да смятаме, че финансова или друга чувствителна информация е била компрометирана. CenturyLink е в процес на комуникация със засегнатите клиенти. Ще продължим да работим за защита на информацията за клиентите. CenturyLink взима сериозно защитата на информацията на нашите клиенти и ние ще работим, за да гарантираме, че печелим доверието на нашите клиенти.

Времева линия на изтичане на данни

Базата данни на MongoDB беше публично достъпна, така че за достъп до нея не беше необходимо удостоверяване. Ето какво наблюдавахме:

  • 17 ноември 2018 г.: Базата данни беше първо индексирана на Shodan.
  • 15 септември 2019: Изследователят по сигурността Боб Диаченко откри откритата база данни. Веднага се свърза с CenturyLink.
  • 17 септември 2019: Базата данни беше затворена.
  • 17 октомври 2019 г.: Получихме известие, че разследването на FCC приключи

Изглежда, че базата данни е била изложена в продължение на около 10 месеца, преди да бъде затворена за обществото.

Данните на CenturyLink пропускат индексиране на Shodan.

Това би дало на злонамерените страни повече от достатъчно време да използват данните в различни схеми.

Каква информация беше изложена?

Изложеният MongoDB беше свързан с доставчик на трета страна. Това беше многоканална платформа за уведомяване за вътрешни и външни комуникации, например между клиенти, техници и агенти.

Типът на изложените данни бяха API-дневници на тези комуникации. Клиентските записи са в обикновен текст (не са шифровани) и съдържат следните данни:

  • име
  • Имейл адрес
  • Телефонен номер
  • Физически адрес
  • Номер на сметката в CenturyLink
  • Дневници за известия
  • Дневници за разговори

Проба от база данни за течове на CenturyLink.

Наред с другите данни имаше информация за услугите на CenturyLink, които всеки клиент е абонирал, например широколентова или домашна сигурност. Не е ясно дали субектите са били жилищни или бизнес клиенти, но въз основа на адресите изглежда, че повечето, ако не и всички, са жилищни.

Опасност от излагане на данни на клиентите на CenturyLink

Личната информация, изложена в базата данни, не се счита за силно чувствителна по своята същност. Например няма банкова информация или номера на социалното осигуряване. Като се има предвид, набор от информация като име на човек, имейл адрес, телефонен номер и пощенски адрес може да бъде много ценна за престъпниците.

Клиентите на CenturyLink трябва да внимават насочени фишинг схеми и свързани измами, които могат да се извършват по имейл, телефон или дори по пощата. Като знаете, че сте клиент на CenturyLink и по-специално за кои услуги се абонирате, измамник може убедително да се представи като представител на компанията в опит да ви накара да предадете допълнителна информация, като парола на акаунта или номер на кредитна карта.

Информацията, отнасяща се до сметките, изглежда доста безобидна на повърхността. Въпреки това, предвид продължителността на излагането на базата данни, е възможно злонамерените страни да са имали възможност да проследяват отделни клиенти във времето. Информацията, включена в дневниците, може дори да помогне при физически престъпления. Например, знаейки, че техният техник е планирано да посети, може да даде възможност на престъпника да се опита да влезе в дома на човек.

За CenturyLink

CenturyLink е шестият по големина доставчик на широколентов интернет в САЩ с около 4,8 милиона абонати към първото тримесечие на 2019 г..

CenturyLink е водеща компания и предоставя продукти и услуги както на жилищни, така и на търговски клиенти в продължение на много години. Той продава интернет, телефон и телевизионни пакети, както и решения за сигурност и облаци, наред с други неща.

Предвид естеството на продуктите и услугите на компанията, много клиенти разполагат с хардуер CenturyLink в домовете си или в своите бизнес помещения, като например интернет модеми и устройства за сигурност.

Съдържанието на базата данни показва, че CenturyLink използва трети доставчик за комуникация с и между клиенти, техници и други членове на компанията.

Това не е първият път, когато CenturyLink е замесен в теч, включващ лична информация. През март 2018 г. срещу дружеството (заедно с DirecTV) беше заведено дело за групови действия от група потребители, които откриха, че личната им информация е свободно достъпна онлайн.

Ищецът, който инициира случая, започна интернет търсене на телефонния му номер и откри публично достъпно копие на сметка за пакет услуги на CenturyLink и DirecTV. На него се показваха неговото име, адрес, телефонен номер и друга информация. Около 1000 други клиенти бяха включени в селището по-късно същата година.

Как и защо открихме теча

В Comparitech провеждаме текущи изследвания за сигурност, включително сканиране в интернет, за да разкрием открити бази данни, които могат да бъдат достъпни неволно за неоторизирани страни. След това действаме възможно най-бързо, за да сведем до минимум потенциалния риск за засегнатите крайни потребители.

Боб Диаченко има дългогодишен опит в киберсигурността и използва огромните си познания за разкриване на течове и нарушения и анализ на свързаната информация. След като открие изтекла информация, той установява своя собственик и уведомява отговорната организация, така че данните да могат да бъдат защитени.

След това правим нещата стъпка по-нататък и изследваме състава на изтеклите данни и на кого се отнасят. Ние съставяме своите констатации в доклад като този, за да помогнем за уведомяването на засегнатите. Разпространявайки думата за тези случаи, надеждата е, че засегнатите организации и потребители могат да предприемат стъпки за ограничаване на достъпа и злоупотребата с данни от злонамерени страни.

Предишни отчети

Това е само едно в поредица от течове и нарушения, които Comparitech и Diachenko са разкрили. Ето някои други, над които работихме:

  • Протичаха клиентски записи на 700k Choice Hotels
  • 7 милиона студентски записи, изложени от K12.com
  • Подробни лични записи на 188 милиона души, открити изложени в мрежата
  • Търговският търговец на криптовалути на борсата QuickBit излага над 300 000 записа
  • 5 милиона лични записи, принадлежащи на MedicareSupplement.com, изложени на публично достояние
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 18 = 28