0
0
As empresas que usam a plataforma VoIP baseada em nuvem da Broadvoice podem encontrar seus pacientes, clientes, fornecedores e parceiros para serem impactados por uma exposição maciça de dados.
A Broadvoice, uma conhecida provedora de VoIP que atende pequenas e médias empresas, vazou mais de 350 milhões de registros de clientes relacionados ao conjunto de comunicações baseado em nuvem “b-hive” da empresa.
Os dados incluem centenas de milhares de transcrições de correio de voz, muitas envolvendo informações confidenciais, como detalhes sobre prescrições médicas e empréstimos financeiros.
A Broadvoice fornece uma das plataformas de negócios mais populares para comunicações, que inclui voz, tecnologia de contact center, ajuda de força de trabalho remota, integração Salesforce.com, comunicações unificadas, tronco sip e muito mais. Muito disso é oferecido via b-hive, que hospeda em nome de clientes como consultórios médicos, escritórios de advocacia, lojas de varejo, organizações comunitárias e muito mais.
Como sua tecnologia sustenta as interações básicas desses clientes com pacientes, clientes, parceiros, fornecedores e outros, muitos dados pessoais fluem através dos sistemas baseados em nuvem da Broadvoice. E esses dados são aparentemente retidos pela empresa, para que seus clientes de negócios possam acessá-los, se necessário.
Infelizmente, de acordo com pesquisadores da Comparitech, a Broadvoice deixou um cluster de banco de dados elasticsearch contendo tais informações abertas à internet, acessíveis a qualquer pessoa, sem necessidade de autenticação. O cache de dados incluía registros com dados pessoais dos clientes dos clientes da Broadvoice, observaram.
O cluster desconfigurado incluiu 10 coleções separadas de dados, relacionadas à colmeia b.
A maior coleção (275 milhões de registros) incluiu nome completo do chamador, identificação de chamada, número de telefone e cidade e estado. Enquanto isso, uma coleção intitulada “produção de pessoas” continha números de ID de conta para os próprios clientes da Broadvoice, o que permitiu aos pesquisadores cruzar entradas com registros em outras coleções.
Mas o mais preocupante tinha 2 milhões de registros de correio de voz, com mais de 200.000 transcrições.
“Muitas das transcrições incluíam detalhes pessoais selecionados, como nome completo, número de telefone e data de nascimento, bem como algumas informações confidenciais”, de acordo com uma postagem da Comparitech na quinta-feira. “Por exemplo, algumas transcrições de mensagens de voz deixadas em clínicas médicas incluíam nomes de prescrições ou detalhes sobre procedimentos médicos. Em uma transcrição, o interlocutor se identificou pelo nome completo e discutiu um diagnóstico positivo do COVID-19.”
Os pesquisadores acrescentaram: “Outras mensagens de voz deixadas para empresas de serviços financeiros incluíam detalhes sobre hipotecas e outros empréstimos, enquanto havia pelo menos um exemplo de um número de apólice de seguro sendo divulgado.”
A maioria desses registros também continha um nome completo, nome de empresa ou um nome genérico, como “chamador sem fio”; número de telefone; um nome ou identificador para a caixa de correio de voz (como “compromissos”); e identificadores internos, de acordo com a Comparitech.
Além das implicações de privacidade, os dados abrem caminho para convencer as tentativas de fraude, observaram os pesquisadores.
“O banco de dados vazado representa uma riqueza de informações que podem ajudar a facilitar ataques de phishing direcionados”, observou a empresa. “Nas mãos dos fraudadores, ofereceria uma oportunidade madura para enganar os clientes da Broadvoice e seus clientes com informações adicionais e possivelmente para entregar dinheiro. Por exemplo, os criminosos podem se passar por Broadvoice ou um de seus clientes para convencer os clientes a fornecer coisas como credenciais de login de conta ou informações financeiras.”
Enquanto isso, “informações sobre coisas como prescrições médicas e consultas de empréstimos poderiam ser usadas para tornar as mensagens extremamente convincentes e persuasivas.”
As coleções foram descobertas pelo pesquisador Bob Diachenko em 1º de outubro, e foram garantidas no mesmo dia, de acordo com a Broadvoice. O cluster havia sido carregado em 28 de setembro, o que significa que foi exposto por cerca de quatro dias.
“A Broadvoice leva a privacidade e a segurança dos dados a sério”, disse o CEO da Broadvoice, Jim Murphy, em comunicado. Ele acrescentou: “Neste momento, não temos razão para acreditar que houve qualquer uso indevido dos dados. No momento, estamos contratando uma empresa forense terceirizada para analisar esses dados e forneceremos mais informações e atualizações para nossos clientes e parceiros. Não podemos especular mais sobre essa questão neste momento.”
Ele também disse que a Broadvoice está trabalhando com Diachenko para garantir que os dados retidos seja destruído.
A Threatpost entrou em contato com a Broadvoice para perguntar sobre suas políticas de retenção de dados e se seus clientes comerciais emitirão notificações de violação de dados para seus próprios clientes afetados.
FONTE: THREATPOST