El 14 de octubre de 2020 el WebsitePlanet El equipo de investigación en cooperación con el investigador de seguridad Jeremiah Fowler descubrió una base de datos no protegida por contraseña que contenía una gran cantidad de registros de llamadas telefónicas y datos relacionados con VOIP. El conjunto de datos estuvo expuesto durante un poco más de 24 horas y estaba creciendo en tiempo real con miles de llamadas realizadas por hora. Desde que se encontró la base de datos hasta que se aseguró, registró 1,48 millones de llamadas automáticas en poco más de un día. Casi todas las llamadas eran salientes, pero el sistema también se registraba cuando alguien devolvía la llamada a un número que aparecía en su identificador de llamadas. La base de datos y los registros pertenecían a una empresa llamada 200 Networks, LLC con sede en Reno, Nevada. Inmediatamente se envió un aviso de divulgación responsable de los hallazgos y 200 redes restringieron el acceso público poco después.
Esta nueva exposición ofrece una mirada entre bastidores del controvertido negocio del marcado automático.
- 1,481,280 llamadas realizadas en 24 horas que incluyeron registros, exponiendo datos de llamadas salientes y números de teléfono entrantes
- Detalles sobre cómo se realizan las llamadas y números de identificación de llamadas
- La base de datos se actualiza cada 5 minutos con registros de llamadas en tiempo real y configuraciones internas como IP y configuraciones de VOIP
- Se realizaron llamadas a receptores con sede en EE. UU. En varios estados en nombre de una amplia gama de empresas, incluidos cobradores de deudas, seguros médicos, inversiones y más.
Los riesgos potenciales de una exposición de datos como esta incluyen la posibilidad de hacer algo llamado "phreaking". Este es un término muy antiguo que describe la piratería de un servicio telefónico tradicional para realizar llamadas gratuitas de larga distancia. El phreaking moderno implicaría obtener acceso completo a la red del proveedor de servicios VOIP sin que ellos lo supieran. Los ciberdelincuentes no solo podían obtener acceso 'gratuito' a la red de llamadas, sino que también intentaban interceptar información de las llamadas, como información de facturación o pago, datos comerciales confidenciales, información médica u otra información personal, correos de voz y la lista continúa.
Qué contenía la base de datos:
Esta base de datos no estaba protegida por contraseña, estaba abierta y visible en cualquier navegador (de acceso público) y cualquier persona con malas intenciones podía editar, descargar o incluso eliminar datos sin credenciales administrativas. (Como investigador de seguridad, nunca eludo ni eludo los activos protegidos con contraseña).
1,481,280 registros totales accesibles que continuaron creciendo hasta que se restringió el acceso. Actualización de los registros cada 5 min.
Registros expuestos que contenían información interna, SIP, identificador de llamadas, rutas de llamadas, direcciones IP y puertos.
Números de identificación de llamadas (falsificados o enmascarados) en forma de dirección IP y luego número de teléfono y "Números de destino" de los destinatarios. Cabe señalar que todos los números de identificación de llamadas salientes volvieron a lo que supongo que eran los clientes de 200 Networks o un sistema de correo de voz.
Pude validar una gran muestra de números de teléfono de servicios de cobro de deudas, asesores de beneficios de salud (ventas de seguros) y muchos otros servicios misteriosos que solo me decían que dejara mi información personal para que un agente me devolviera la llamada.
La base de datos estaba en riesgo de ransomware y había evidencia de un ataque de bot automatizado Meow.
Middleware e información de compilación que podría permitir una ruta secundaria para el malware. (El middleware es un software que conecta el sistema operativo y las aplicaciones; a menudo se le llama "software pegamento". Si hay vulnerabilidades o exploits en el middleware, puede ser una puerta trasera a la red).
Registros técnicos como direcciones IP, puertos, rutas e información de almacenamiento que los ciberdelincuentes podrían explotar para acceder potencialmente más a la red.
