Un contratista que trabaja para el gigante celular Sprint almacenó en un servidor en la nube desprotegido cientos de miles de facturas de teléfonos celulares de suscriptores de AT&T, Verizon y T-Mobile.
El depósito de almacenamiento tenía más de 261,300 documentos, la gran mayoría de los cuales eran facturas telefónicas pertenecientes a suscriptores celulares que datan de 2015. Pero el depósito, alojado en Amazon Web Services (AWS), no estaba protegido con una contraseña, lo que permitía a cualquiera para acceder a los datos dentro.
No se sabe cuánto tiempo estuvo expuesto el cubo.
Las facturas, que contenían nombres, direcciones y números de teléfono, y muchos historiales de llamadas incluidos, se recopilaron como parte de una oferta para permitir a los suscriptores celulares cambiar a Sprint, según los documentos de la marca Sprint encontrados en el servidor. Los documentos explicaron cómo el gigante celular pagaría la tarifa de terminación anticipada del suscriptor para romper su actual contrato de servicio celular, una táctica de ventas común utilizada por los proveedores de celulares.
En algunos casos, encontramos otros documentos confidenciales, como un extracto bancario y una captura de pantalla de una página web que tenía los nombres de usuario, las contraseñas y los PIN de cuenta de los suscriptores, lo que en combinación podría permitir el acceso a la cuenta de un cliente.
Compañía de pruebas de penetración con sede en el Reino Unido. Seguridad de la información de Fidus encontró los datos expuestos, pero no estaba claro de inmediato quién era el propietario del depósito. Fidus reveló el lapso de seguridad a Amazon, que informó al cliente de la exposición, sin nombrarlos. El cubo se cerró posteriormente.
Una factura telefónica de Verizon y AT&T de dos clientes. (Imagen: suministrada)
Una factura de T-Mobile encontrada en los servidores expuestos. También se encontraron un puñado de billetes de Sprint. (Imagen: suministrada)
Después de una breve revisión de la memoria caché, encontramos un documento que decía, simplemente, "PRUEBA". Cuando revisamos el archivo a través de un verificador de metadatos, reveló el nombre de la persona que creó el documento: un ejecutivo de cuentas en Deardorff Communications, la agencia de marketing encargada de la promoción Sprint.
Cuando lo alcanzaron, Jeff Deardorff, presidente de Deardorff Communications, confirmó que su compañía era propietaria del cubo y que el acceso estaba restringido el miércoles.
"He lanzado una investigación interna para determinar la causa raíz de este problema, y también estamos revisando nuestras políticas y procedimientos para asegurarnos de que algo así no vuelva a suceder", dijo a TechCrunch en un correo electrónico.
Dada la información expuesta sobre los clientes de los cuatro gigantes de las grandes células, contactamos a cada compañía. AT&T no hizo comentarios y T-Mobile no respondió a una solicitud de comentarios. El portavoz de Verizon, Richard Young, dijo que la compañía estaba "revisando actualmente" el asunto y tendría detalles "tan pronto como esté disponible". (TechCrunch es propiedad de Verizon).
Cuando se llegó a él, un portavoz de Sprint no reveló la naturaleza de su relación con Deardorff ni hizo comentarios sobre el registro en el momento de la redacción.
No se sabe por qué los datos fueron expuestos en primer lugar. No es raro que los cubos de almacenamiento de AWS se configuren incorrectamente al establecerse en "público" y no "privado".
"La tendencia alcista que vemos en los datos confidenciales de acceso público es preocupante, a pesar de que Amazon lanzó herramientas para ayudar a combatir esto", dijo Harriet Lester, directora de investigación y desarrollo de Fidus. "Este escenario fue ligeramente diferente al habitual, ya que fue difícil identificar al propietario del cubo, pero afortunadamente el equipo de seguridad de AWS pudo pasar el informe al propietario en cuestión de horas y el acceso público se cerró poco después".
Le preguntamos a Deardorff si su compañía planea informar a aquellos cuya información fue expuesta por el lapso de seguridad. No recibimos una respuesta de inmediato.
Lee mas: