新闻
您现在的位置:首页 > 新闻 > 一家Sprint承包商错误地将数千张美国手机账单留在了互联网上
  • 从0到1,这些新锐品牌在抖音做对了什么?

    从0到1,这些新锐品牌在抖音做对了什么?

    发布时间:2021/06/22

    如今的食品饮料行业,新机会往往由新的玩家率先挖掘,他们中的佼佼者将成为行业中极具竞争力的年轻选手,我们称之为新锐品牌。 在漫天的战报中,我们很容易就能找到一个数据猛增的新锐品牌,但挖掘新锐品牌背后的...

  • Gislaved熊牌轮胎正式进入中国市场

    Gislaved熊牌轮胎正式进入中国市场

    发布时间:2021/04/24

    德国马牌轮胎亚太区产品总监Tolga MUTLU介绍Gislaved熊牌新品轮胎 大陆马牌轮胎(中国)有限公司宣布,拥有百年辉煌历史的轮胎品牌 — Gislaved熊牌轮胎正式进入中国市场,进一步夯实德国马牌在华“多品牌”战...

  • 麦当劳中国推出金菠萝雪芭

    麦当劳中国推出金菠萝雪芭

    发布时间:2021/04/23

    麦当劳中国推出首个雪芭类产品 麦当劳中国与国际知名水果品牌都乐首次合作,推出全新夏日新品 — 金菠萝雪芭,为夏日冰品市场增添了一个创新的美味轻食选择。 金菠萝雪芭是麦当劳中国的首个雪芭类产品,使用...

一家Sprint承包商错误地将数千张美国手机账单留在了互联网上

发布时间:2019/12/05 新闻 浏览次数:743

 
一个为电池业巨头Sprint工作的承包商在不受保护的云服务器上存储了成千上万AT&T,Verizon和T-Mobile用户的手机账单。
该存储桶中有超过261,300个文档,其中绝大多数是可追溯到2015年的属于蜂窝用户的电话账单。但是,存储在Amazon Web Services(AWS)上的存储桶没有受密码保护,允许任何人访问内部数据。
不知道铲斗暴露了多长时间。
根据服务器上发现的Sprint品牌文件,这些账单-包含姓名,地址和电话号码,并且包括许多通话记录-是作为要约的一部分收集的,以使手机订户可以切换到Sprint。这些文件解释了细胞巨头如何支付订户的提前终止费,以破坏他们当前的细胞服务合同,这是细胞提供商常用的销售策略。
在某些情况下,我们还发现了其他敏感文件,例如银行对帐单以及网页的屏幕快照,其中包含订户的在线用户名,密码和帐户PIN(可结合使用允许访问客户帐户)。
总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据,但尚不清楚谁是谁。 Fidus向Amazon披露了安全漏洞,后者将客户的暴露情况告知了客户,但未命名。随后将桶关闭。

 

在对缓存进行了简短的回顾之后,我们发现了一个文档,简称为“ TEST”。当我们通过元数据检查器运行文件时,它揭示了创建文档的人的名字-Deardorff Communications的客户经理,负责Sprint促销的营销机构。
到达时,Deardorff Communications总裁Jeff Deardorff确认他的公司拥有这个存储桶,并且访问于周三早些时候受到限制。
他在一封电子邮件中告诉TechCrunch:“我已经进行了内部调查,以确定此问题的根本原因,并且我们还在审查我们的政策和程序,以确保不会再次发生这种情况。”
考虑到四大电池巨头的客户所涉及的公开信息,我们联系了两家公司。 AT&T没有发表评论,T-Mobile也没有回应评论请求。 Verizon发言人Richard Young表示,该公司正在“审查”此事,并将“尽快提供详细信息。”(TechCrunch由Verizon拥有)。
Sprint发言人丽莎·贝洛特(Lisa Belot)不会透露与迪亚多夫(Deardorff)关系的性质,但表示“已确定错误已得到纠正”。
目前尚不清楚为什么首先要公开数据。通过将AWS存储桶设置为“公共”而非“私有”来配置错误的情况并不少见。
Fidus研发总监Harriet Lester表示:“尽管亚马逊发布了打击此类数据的工具,但我们仍然看到公开获取敏感数据的上升趋势令人担忧。” “这种情况与通常情况略有不同,因为很难识别存储桶的所有者,但是值得庆幸的是,AWS的安全团队能够在数小时内将报告传递给所有者,并且不久之后就关闭了公共访问。”
我们询问了Deardorff,他的公司是否计划通知那些因安全漏洞而暴露其信息的人。我们没有立即收到回复。
更新了Sprint注释。
阅读更多:
簇绒和针具暴露了数千个客户运输标签
StockX被黑,暴露了数百万客户的数据
DoorDash确认数据泄露影响了490万客户,工人和商人
众议院报告称,如果使用基本安全措施,Equifax违规行为“完全可以预防”
不要说“我们认真对待您的隐私和安全性”
研究人员称,Capital One漏洞也袭击了其他主要公司
梅西百货称黑客再次偷走了客户的信用卡