WTF ?! Het gebeurde vaak: een bedrijf laat klantgegevens openstaan ​​op internet en verontschuldigt zich wanneer het wordt ontdekt voor "fout" of "start een intern onderzoek" en gaat verder. Wanneer zullen bedrijven het echt moeilijk hebben om onze persoonlijke informatie vrij te geven?

Analisten bij het bedrijf Fidus InformatiebeveiligingHet in het VK gevestigde penetratietestbedrijf ontdekte een onbeschermde Amazon Web Services (AWS) -emmer op internet. De vondst bevatte meer dan 260.000 documenten van gsm-klanten van de meeste grote providers, waaronder AT&T, Verizon en T-Mobile.

De overgrote meerderheid van de bestanden waren telefoonrekeningen uit 2015, waarop de namen, adressen, telefoonnummers en belgeschiedenis van de facturen waren vermeld. Andere gevoelige documenten werden ook gevonden op de kwetsbare server, waaronder ten minste een bankafschrift en een screenshot van een webpagina met de gebruikersnamen, wachtwoorden en accountpincodes van abonnees.

Fidus kon de eigenaar van de blootgestelde server niet onmiddellijk identificeren, dus werd dit gerapporteerd AWS lek. Amazon nam anoniem contact op met de klant en de emmer werd gesloten.

Kan zijn sprint abonnees waren bijna afwezig in de cache met documenten (er werden slechts enkele facturen gevonden van de koerier) was een aanwijzing voor wie er achter de blootstelling zat, maar het was puur situationeel.




TechCrunch, wat documentatie en ontdekt Iemand die "TEST" zegt. Door het bestand door een metadatacontrole te laten lopen, werd de naam van de accountmanager van Deardorff Communications onthuld. Deardorff is een marketingbureau dat Sprint-promoties beheert.




Documentatie werd waarschijnlijk gebruikt als bewijs van de huidige dekking, zodat Sprint de vervangende annuleringskosten kon betalen. Vrijwel alle telecombedrijven zullen dit van elkaar naar klanten missen.




De CEO van het marketingbedrijf, Jeff Deardorff, bevestigde dat zijn bedrijf een AWS-bucket heeft en zei dat ze woensdag de toegang tot dit bedrijf beperkten.




"Ik heb een intern onderzoek gestart om de hoofdoorzaak van dit probleem vast te stellen, en we herzien ook ons ​​beleid en onze procedures om ervoor te zorgen dat zoiets niet gebeurt", zei Deardorff tegen TC. Zei.

AT&T en T-Mobile gaven geen commentaar toen ze werden benaderd. De woordvoerder van Verizon, eigenaar van TechCrunch, zei dat de telecomprovider "momenteel wordt beoordeeld" en dat hij meer details zal hebben zodra deze naar voren komen.




Sprint, de uiteindelijke verantwoordelijke voor de gegevens, maakt de aard van zijn relatie met Deardorff Communications niet bekend, zelfs niet bij volmacht. Een woordvoerder zei echter: "[Sprint] heeft ervoor gezorgd dat de bug is verholpen."

Masthead-tegoed: Michael Candelori Via Shutterstock. Scans geleverd door Fidus Informatiebeveiliging Met TechCrunch