Wyciek danych Broadvoice. Dostawca usług VoiP pozostawił 350 mln niezabezpieczonych rekordów
Broadvoice zajmuje się dostarczaniem usług typu cloud VoIP dla sektora biznesowego. Niedawno firma dopuściła do poważnego wycieku danych, w wyniku czego można było uzyskać dostęp do aż 350 milionów niezabezpieczonych rekordów. Kilka milionów z nich to nagrania głosowe.
Łącznie 350 milionów rekordów, z czego 2 miliony nagrań głosowych i 200 tysięcy plików z transkrypcją rozmów mogło paść łupem każdego. Wiele z nich zawierało dane wrażliwe (w tym pochodzące od klinik medycznych), w tym dotyczące stanu zdrowia, informacje o zadłużeniu hipotecznym, a także polisach ubezpieczeniowych.
Sprawą zajął się słynny badacz zabezpieczeń Bob Diachenko oraz firma Comparitech. Broadvoice dopuściło do wycieku danych 28 września 2020 r., po czym następnie zabezpieczyło wszystkie rekordy 2 października, gdy o sytuacji poinformował Diachenko.
Dane narażone na kradzież dotyczyły "mniej niż 10 tys. biznesów". Do tej pory nie udowodniono, że wykorzystano jakiekolwiek informacje przez niepożądane osoby.
Przyczyną wycieku był błędnie skonfigurowany klaster Google Cloud, który zawierał 10 różnych kolekcji danych. Jeśli z poufnych informacji skorzystali cyberprzestępcy, mogliby za ich pomocą stworzyć tzw. kampanię ataków phishingowych, czyli próby wysyłania fałszywych wiadomości z podszywaniem się pod osoby, które zna ofiara.
