Un server non protetto che memorizza milioni di registri chiamate e SMS è stato lasciato aperto per mesi prima di essere trovato da un ricercatore di sicurezza.
Si tratta di un problema simile a quello di cui vi abbiamo parlato alla fine dello scorso anno e che ha come protagonista Voipo, azienda californiana che si occupa della fornitura di servizi di comunicazione (sia residenziali che aziendali, con la possibilità di controllo nel cloud).
A scoprire il problema è stato il ricercatore per la sicurezza Justin Paine, che ha trovato il database esposto (con decine di gigabyte di dati di ignari clienti) la scorsa settimana e ha contattato il responsabile della tecnologia dell’azienda, il quale ha subito provveduto a metterlo offline.
Si tratta di una delle più grandi violazioni dei dati degli ultimi tempi, con circa sette milioni di registri delle chiamate, sei milioni di SMS e altri documenti interni contenenti password non crittografate che, se utilizzate, avrebbero consentito a un malintenzionato di accedere ai sistemi dell’azienda.
Stando a quanto riferito da Paine, il database è stato esposto a partire dal giugno del 2018 e contiene i registri delle chiamate e dei messaggi che risalgono a maggio 2015, con log aggiornati quotidianamente fino all’8 gennaio, quando il database è stato messo offline.
Gli SMS intercettati contenenti codici a due fattori o link di reimpostazione della password avrebbero potuto “consentire all’aggressore di aggirare il sistema di protezione dell’account dell’utente” mentre i registri contenevano anche credenziali che consentivano l’accesso al provider di servizi E911 di Voipo (sistema che permette ai servizi di emergenza di conoscere la posizione pre-registrata di una persona in base al numero di telefono).
L’amministratore delegato di Voipo ha confermato l’esposizione dei dati, aggiungendo che tuttavia non è stata trovata alcuna prova che si sia verificata una violazione degli stessi.