VoIP業者Broadvoice資料庫配置不當,200萬筆語音郵件曝光

提供各種技術研究及比較服務的Comparitech在本周揭露,他們透過Shodan.io搜尋引擎在網路上,發現一個不必輸入憑證就能存取的資料庫叢集,大約有10個Collection,涉及3.5億筆紀錄,當中含有200萬筆的語音郵件,追查之下發現該Elasticsearch叢集的所有人,為美國專門提供VoIP通訊服務的Broadvoice。

在曝光的資料庫中,資料量最大的Collection牽涉到2.75億筆紀錄,內含來電者的姓名、來電號碼、電話號碼,以及州別與城市;還有一個Collection存放了200萬筆的語音郵件紀錄,當中至少有20萬筆紀綠擁有文字檔,這些紀錄同樣具備了來電者的姓名、來電號碼、語音信箱所有人的姓名,以及內部代碼等。

Comparitech表示,許多語音郵件都含有個人或機密資訊,例如醫療程序或處方,當中甚至有一個列出全名的郵件討論的是武漢肺炎(COVID-19)的確診診斷,另有一些語音郵件涉及貸款細節。

還有一個Collection存放的是Broadvoice的用戶帳號資訊,可用來與其它Collection的內容進行交叉比對。

Comparitech是在今年的10月1日發現此一未受保護的叢集資料庫,當天也是Shodan.io索引該資料庫的第一天,而Broadvoice在收到Comparitech的通知之後,隔天就加入了憑證機制以限制存取。

Broadvoice表示,該資料庫是在9月28日不小心曝光的,但10月2日就已保全,該公司除了立即展開調查之外,也通知了執法機構,目前並無任何證據顯示相關資料曾遭到濫用。

原文來自 iThome Online