Данни за клиентите на CenturyLink са разкрити онлайн, изтекли са 2,8 милиона записа
База данни от 2,8 милиона записа, съдържаща чувствителна информация относно стотици хиляди клиенти на CenturyLink, беше оставена отворена онлайн за всеки, който има достъп до интернет, за да види. Записите, съставляващи базата данни, бяха регистрационни файлове от платформа за уведомяване на трета страна, използвана от CenturyLink. Те включват множество части от лична информация, включително име, имейл адрес, телефонен номер и адрес, заедно с конкретна информация за акаунта.
CenturyLink е технологична компания от Fortune 500, която предоставя на домашни, бизнес и корпоративни клиенти разнообразие от продукти и услуги, включително интернет, телефон, кабелна телевизия, облачни решения и сигурност.
Comparitech откри изложената база данни MongoDB в сътрудничество с изследователя по сигурността Боб Диаченко. Откритието беше направено на 15 септември и Диаченко уведоми CenturyLink същия ден, но базата данни имаше вече е изложена в продължение на много месеци до този момент. От 17 септември той беше затворен.
След като уведомиха CenturyLink и им дадоха време да разрешат този проблем, те поискаха да отложим публикуването на този доклад. Това трябваше да даде време на CenturyLink да проведе вътрешно разследване и да отнесе въпроса до FCC, преди да уведоми своите клиенти.
Базата данни включва API регистрационни файлове с информация за клиента и съдържа общо повече от 2,8 милиона записа. Тъй като някои клиенти са били обект на множество записи, приблизителният брой на засегнатите клиенти е много по-малък, но все още в стотици хиляди.
CenturyLink даде на Comparitech следното изявление:
Откакто научихме за тази ситуация, работихме, за да потвърдим, че проблемът със сигурността е разрешен и провеждаме задълбочено разследване на инцидента. Включените данни изглежда са предимно информация за контакт и нямаме причина да смятаме, че е била компрометирана каквато и да е финансова или друга чувствителна информация. CenturyLink е в процес на комуникация със засегнатите клиенти. Ние ще продължим да работим за защита на информацията за клиентите. CenturyLink приема сериозно защитата на информацията на нашите клиенти и ще работим, за да гарантираме, че печелим доверието на нашите клиенти.
График на изтичането на данни
Базата данни MongoDB беше публично достъпна, така че не се изисква удостоверяване за достъп до нея. Ето какво наблюдаваме:
- 17 ноември 2018 г.: Базата данни за първи път беше индексирана на Shodan.
- 15 септември 2019 г.: Изследователят по сигурността Боб Диаченко откри разкритата база данни. Той веднага се свърза с CenturyLink.
- 17 септември 2019 г.: Базата данни беше затворена.
- 17 октомври 2019 г.:Получихме известие, че разследването на FCC е приключило
Изглежда, че базата данни е била изложена около 10 месеца, преди да бъде затворена за обществеността.
Това би дало на злонамерените страни повече от достатъчно време да използват данните в различни схеми.
Каква информация беше разкрита?
Разкритата MongoDB е била свързана с доставчик трета страна. Това беше многоканална платформа за уведомяване за вътрешни и външни комуникации, например между клиенти, техници и агенти.
Типът изложени данни бяха регистрационни файлове на API за тези комуникации. Записите на клиентите бяха в обикновен текст (некриптирани) и съдържаха следните данни:
- Име
- Имейл адрес
- Телефонен номер
- Физически адрес
- Номер на акаунт в CenturyLink
- Дневници на известията
- Дневници на разговори
Сред другите данни имаше информация за това за кои услуги на CenturyLink се е абонирал всеки клиент, например широколентова връзка или домашна сигурност. Не е ясно дали субектите са били домашни или бизнес клиенти, но въз основа на адресите изглежда, че повечето, ако не всички, са жилищни.
Опасности от излагане на данни на клиенти на CenturyLink
Личната информация, изложена в базата данни, не се счита за силно чувствителна по природа. Например, няма банкова информация или социалноосигурителни номера. Като се има предвид това, набор от информация като име на човек, имейл адрес, телефонен номер и пощенски адрес може да бъде много ценен за престъпниците.
Клиентите на CenturyLink трябва да внимават целенасочени фишинг схеми и свързани измами, които могат да бъдат извършени по имейл, телефон или дори поща. Знаейки, че сте клиент на CenturyLink и по-специално за кои услуги сте се абонирали, измамникът може убедително да се представи за представител на компанията в опит да ви накара да предадете допълнителна информация, като например парола за вашия акаунт или номер на кредитна карта.
Информацията, свързана с акаунтите, изглежда доста безобидна на повърхността. Въпреки това, като се има предвид продължителността на времето, за което базата данни е била изложена, възможно е злонамерените страни да са имали възможност да проследяват отделни клиенти с течение на времето. Информацията, включена в дневниците, може дори да помогне при физически престъпления. Например, знаейки, че е насрочено посещение на техник, може да даде възможност на престъпник да се опита да влезе в дома на дадено лице.
Относно CenturyLink
CenturyLink е шестият по големина доставчик на широколентов интернет в САЩ с около 4,8 милиона абонати към Q1 2019 .
CenturyLink е компания с висок профил и предоставя продукти и услуги както на домашни, така и на търговски клиенти в продължение на много години. Той продава интернет, телефонни и телевизионни пакети, както и решения за сигурност и облачни решения, наред с други неща.
Като се има предвид естеството на продуктите и услугите на компанията, много клиенти имат хардуер CenturyLink в домовете си или в своите бизнес помещения, като интернет модеми и устройства за сигурност.
Съдържанието на базата данни показва, че CenturyLink е използвал доставчик трета страна за комуникация с и между клиенти, техници и други членове на компанията.
Това не е първият път, когато CenturyLink е замесен в изтичане на лична информация. През март 2018 г. а колективен иск беше стартиран срещу компанията (заедно с DirecTV) от група потребители, които откриха, че личната им информация е свободно достъпна онлайн.
Ищецът, който заведе делото, потърси в интернет своя телефонен номер и откри публично достъпно копие на сметка за пакет от услуги CenturyLink и DirecTV. Показва името, адреса, телефонния му номер и друга информация. Около 1000 други клиенти бяха включени в селище по-късно същата година.
Как и защо открихме теча
В Comparitech провеждаме непрекъснато проучване на сигурността, включително сканиране на интернет, за да разкрием разкрити бази данни, които могат неволно да бъдат достъпни за неупълномощени страни. След това действаме възможно най-бързо, за да сведем до минимум потенциалния риск за засегнатите крайни потребители.
Боб Диаченко има дългогодишен опит в киберсигурността и използва огромните си познания, за да разкрива течове и пробиви и да анализира включената информация. След като открие изтекла информация, той установява нейния собственик и уведомява отговорната организация, за да могат данните да бъдат защитени.
След това предприемаме крачка напред и проучваме състава на изтеклите данни и за кого се отнасят. Събираме констатациите си в доклад като този, за да уведомим засегнатите. Разпространявайки информацията за тези случаи, надеждата е, че засегнатите организации и потребители могат да предприемат стъпки за ограничаване на достъпа до и злоупотребата с данните от злонамерени страни.
Предишни доклади
Това е само едно от поредицата течове и пробиви, които Comparitech и Diachenko разкриха. Ето някои други, върху които сме работили:
- Изтекоха записи на клиенти на 700k Choice Hotels
- 7 милиона студентски записи, изложени от K12.com
- Подробни лични досиета на 188 милиона души бяха открити в мрежата
- Търговецът на дребно на криптовалута QuickBit, регистриран на борсата, разкрива над 300 000 записа
- 5 милиона лични досиета, принадлежащи на MedicareSupplement.com, изложени на обществеността