Getty Images | d3sign
Syniverse, una compañía que enruta cientos de miles de millones de mensajes de texto cada año para cientos de operadores, incluidos Verizon, T-Mobile y AT&T, reveló a los reguladores gubernamentales que un pirata informático obtuvo acceso no autorizado a sus bases de datos durante cinco años. Syniverse y los operadores no han dicho si el pirata informático tuvo acceso a los mensajes de texto de los clientes.
A presentación ante la Comisión de Bolsa y Valores la semana pasada dijo que “en mayo de 2021, Syniverse se dio cuenta del acceso no autorizado a sus sistemas operativos y de tecnología de la información por parte de una persona u organización desconocida. Inmediatamente después de que Syniverse detectara el acceso no autorizado, Syniverse inició una investigación interna, notificó a la policía y comenzó la reparación acciones y contrató los servicios de asesores legales especializados y otros profesionales de respuesta a incidentes “.
Syniverse dijo que su “investigación reveló que el acceso no autorizado comenzó en mayo de 2016” y “que la persona u organización obtuvo acceso no autorizado a bases de datos dentro de su red en varias ocasiones, y que la información de inicio de sesión permite el acceso ao desde su Transferencia electrónica de datos (‘ EDT ‘) se vio comprometido para aproximadamente 235 de sus clientes “.
Syniverse no revela más detalles
Cuando fue contactado por Ars hoy, un portavoz de Syniverse proporcionó una declaración general que en su mayoría repite lo que está en la presentación de la SEC. Syniverse se negó a responder nuestras preguntas específicas sobre si los mensajes de texto fueron expuestos y sobre el impacto en los principales operadores de EE. UU.
“Dada la naturaleza confidencial de nuestra relación con nuestros clientes y una investigación policial pendiente, no anticipamos más declaraciones públicas sobre este asunto”, dijo Syniverse.
La presentación ante la SEC es una declaración de poder preliminar relacionada con una fusión pendiente con una empresa de adquisición de propósito especial que hará de Syniverse una empresa que cotice en bolsa. (El documento fue presentado por M3-Brigade Acquisition II Corp., la compañía de cheques en blanco). Como es estándar con las presentaciones de la SEC, el documento analiza los factores de riesgo para los inversores, en este caso incluidos los factores de riesgo relacionados con la seguridad demostrados por Syniverse hack de base de datos.
Mensajes de rutas sincronizadas para 300 operadores
Syniverse dice que es servicio de mensajería interportadora procesa más de 740 mil millones de mensajes cada año para más de 300 operadores móviles en todo el mundo. Aunque Syniverse probablemente no sea un nombre familiar para la mayoría de los usuarios de teléfonos celulares, la compañía juega un papel clave para garantizar que los mensajes de texto lleguen a su destino.
La importancia de Syniverse en SMS se destacó en noviembre de 2019 cuando una falla del servidor provocó que se entregaran más de 168,000 mensajes con casi nueve meses de retraso. Los mensajes estaban en una cola y no se entregaron cuando un servidor falló el 14 de febrero de 2019, y finalmente llegaron a sus destinatarios en noviembre cuando el servidor fue reactivado.
Hoy le preguntamos a AT&T, Verizon y T-Mobile si el pirata informático tenía acceso a los mensajes de texto de las personas, y actualizaremos este artículo si obtenemos información nueva.
Actualizar: T-Mobile le proporcionó a Ars una declaración en la que decía que “no hay indicios” de que se hayan expuesto mensajes de texto u otro tipo de información personal. “Tenemos conocimiento de un incidente de seguridad que involucró a uno de [our] proveedores externos, Syniverse. Brindan servicios de conciliación para pagos realizados entre transportistas. La violación afectó a numerosos operadores, incluido T-Mobile; sin embargo, no tenemos indicios de que se haya visto afectado la información personal, los detalles del registro de llamadas o el contenido de los mensajes de texto de los clientes de T-Mobile. Continuaremos investigando y trabajando con Syniverse para cerrar cualquier vulnerabilidad identificada “, dijo T-Mobile.
Syniverse dice que solucionó vulnerabilidades
Syniverse dijo en la presentación de la SEC y su declaración a Ars que restableció o desactivó las credenciales de todos los clientes de EDT, “incluso si sus credenciales no se vieron afectadas por el incidente”.
“Syniverse ha notificado a todos los clientes afectados de este acceso no autorizado donde se requiere por contrato, y Syniverse ha concluido que no se requiere ninguna acción adicional, incluida cualquier notificación al cliente, en este momento”, dijo la presentación de la SEC. Syniverse nos dijo que también “implementó medidas adicionales sustanciales para brindar una mayor protección a nuestros sistemas y clientes” en respuesta al incidente, pero no dijo cuáles son esas medidas.
Syniverse aparentemente confía en que tiene todo bajo control, pero le dijo a la SEC que aún podría descubrir más problemas resultantes de la infracción:
Syniverse no observó ninguna evidencia de intención de interrumpir sus operaciones o las de sus clientes y no hubo ningún intento de monetizar la actividad no autorizada … Si bien Syniverse cree que ha identificado y solucionado adecuadamente las vulnerabilidades que llevaron a los incidentes descritos anteriormente, no no puede garantizarse que Syniverse no descubrirá pruebas de exfiltración o uso indebido de sus datos o sistemas de TI a partir del Incidente de mayo de 2021, o que no sufrirá un ciberataque futuro que lleve a tales consecuencias. Cualquier exfiltración de este tipo podría dar lugar a la divulgación pública o la apropiación indebida de datos de clientes, secretos comerciales de Syniverse u otra propiedad intelectual, información personal de sus empleados, información confidencial de sus clientes, proveedores y vendedores, o información financiera material y de otro tipo relacionada con su negocio.
La presentación de Syniverse ante la SEC se presentó el 27 de septiembre y se discutió ayer en un artículo en la sección Placa base de Vice. Según Vice, un “ex empleado de Syniverse que trabajó en los sistemas EDT” dijo que esos sistemas contienen información sobre todo tipo de registros de llamadas. Vice también citó a un empleado de una compañía telefónica que dijo que un pirata informático podría haber obtenido acceso al contenido de los mensajes de texto SMS.
Vice escribió:
Syniverse se negó repetidamente a responder preguntas específicas de Motherboard sobre la escala de la violación y qué datos específicos se vieron afectados, pero según una persona que trabaja en un operador telefónico, quienquiera que haya pirateado Syniverse podría haber tenido acceso a metadatos como la duración y el costo, la persona que llama. y los números del destinatario, la ubicación de las partes en la llamada, así como el contenido de los mensajes de texto SMS.
“Syniverse es un centro de intercambio común para los operadores de todo el mundo que se pasan información de facturación entre sí”, dijo a Motherboard la fuente, que pidió permanecer en el anonimato ya que no estaban autorizados a hablar con la prensa. “Por lo tanto, inevitablemente transporta información confidencial como registros de llamadas, registros de uso de datos, mensajes de texto, etc. […] La cuestión es que no sé exactamente qué se intercambiaba en ese entorno. Habría que imaginarse que fácilmente podrían ser registros de clientes y [personal identifying information] dado que Syniverse intercambia registros de llamadas y otros detalles de facturación entre operadores “.