एक स्प्रिंट ठेकेदार ने गलती से हजारों अमेरिकी सेल फोन बिल इंटरनेट पर छोड़ दिए

सेल विशाल स्प्रिंट के लिए काम करने वाला एक ठेकेदार असुरक्षित क्लाउड सर्वर पर एटी एंड टी, वेरिज़ोन और टी-मोबाइल ग्राहकों के हजारों सेल फोन बिलों पर संग्रहीत है।

भंडारण बाल्टी में 261,300 से अधिक दस्तावेज थे, जिनमें से अधिकांश फोन बिल बिल से संबंधित सेल ग्राहकों से संबंधित थे। 2015 तक, लेकिन अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) पर होस्ट की गई बाल्टी को पासवर्ड से संरक्षित नहीं किया गया था, जिससे कोई भी अनुमति दे सकता है। अंदर डेटा तक पहुँचने के लिए।

यह ज्ञात नहीं है कि बाल्टी कब तक सामने आई थी।

सर्वर पर मिले स्प्रिंट-ब्रांडेड दस्तावेजों के अनुसार, बिल – जिसमें नाम, पते और फोन नंबर शामिल थे, और कई में कॉल हिस्टरी शामिल थे – सेल सब्सक्राइबर्स को स्प्रिंट पर स्विच करने की अनुमति देने के एक भाग के रूप में एकत्र किए गए थे। दस्तावेज़ों ने बताया कि सेल के ग्राहकों द्वारा अपने वर्तमान सेल सेवा अनुबंध को तोड़ने के लिए सेल के दिग्गज किस तरह से भुगतान करेंगे, सेल प्रदाताओं द्वारा उपयोग की जाने वाली एक आम बिक्री रणनीति।

कुछ मामलों में हमें अन्य संवेदनशील दस्तावेज़ मिले, जैसे कि बैंक स्टेटमेंट, और वेब पेज का स्क्रीनशॉट, जिसमें सब्सक्राइबर के ऑनलाइन यूज़रनेम, पासवर्ड और अकाउंट पिन होते हैं – जो संयोजन में ग्राहक के खाते तक पहुंच की अनुमति दे सकते हैं।

यू.के.-आधारित पैठ परीक्षण कंपनी फ़िडस इंफ़ॉर्मेशन सिक्योरिटी को उजागर डेटा मिला, लेकिन यह तुरंत स्पष्ट नहीं था कि बाल्टी किसके पास है। फ़िडस ने अमेज़ॅन को सुरक्षा चूक का खुलासा किया, जिसने एक्सपोज़र के ग्राहक को सूचित किया – बिना उनका नाम लिए। बाद में बाल्टी बंद कर दी गई।

डियरडॉफ़ कम्युनिकेशंस

कैश की संक्षिप्त समीक्षा के बाद, हमें एक दस्तावेज मिला, जिसमें कहा गया था, बस, “टेस्ट।” जब हमने मेटाडेटा चेकर के माध्यम से फाइल चलाई, तो उसने उस व्यक्ति के नाम का खुलासा किया जिसने दस्तावेज़ बनाया – डियरडॉफ़ कम्युनिकेशंस में एक खाता कार्यकारी, मार्केटिंग एजेंसी ने स्प्रिंट पदोन्नति के साथ काम किया।

पहुंचने पर, डियरडॉफ़ कम्युनिकेशंस के अध्यक्ष जेफ़ डियरडॉफ़ ने अपनी कंपनी को बाल्टी के स्वामित्व की पुष्टि की और यह पहुँच बुधवार को पहले ही प्रतिबंधित कर दी गई थी।

उन्होंने ईमेल में टेकक्रंच को बताया, “मैंने इस मुद्दे के मूल कारण को निर्धारित करने के लिए एक आंतरिक जांच शुरू की है, और हम अपनी नीतियों और प्रक्रियाओं की भी समीक्षा कर रहे हैं।

बड़ी चार सेल दिग्गजों के ग्राहकों की उजागर जानकारी को देखते हुए, हमने प्रत्येक कंपनी से संपर्क किया। एटी एंड टी ने टिप्पणी नहीं की और टी-मोबाइल ने टिप्पणी के अनुरोध का कोई जवाब नहीं दिया। Verizon के प्रवक्ता रिचर्ड यंग ने कहा कि कंपनी इस मामले की “वर्तमान में समीक्षा” कर रही थी और इसका विवरण “उपलब्ध होते ही” होगा। (TechCrunch Verizon के स्वामित्व में है।)

स्प्रिंट प्रवक्ता लिसा बेलोट डियरडॉर्फ के साथ अपने संबंधों की प्रकृति का खुलासा नहीं करेंगे, लेकिन उन्होंने कहा कि “यह आश्वासन दिया गया था कि त्रुटि को ठीक कर दिया गया है।”

यह ज्ञात नहीं है कि पहले स्थान पर डेटा क्यों उजागर किया गया था। AWS संग्रहण बाल्टियों को “सार्वजनिक” और “निजी” नहीं होने के कारण गलत माना जाना असामान्य नहीं है।

फ़िडस के अनुसंधान और विकास निदेशक, हैरियट लेस्टर ने कहा, “हम संवेदनशील डेटा को सार्वजनिक रूप से सुलभ होने के बावजूद देख रहे हैं, जिससे निपटने के लिए अमेज़न ने टूल जारी किया है।” “यह परिदृश्य सामान्य रूप से थोड़ा अलग था क्योंकि यह बाल्टी के मालिक की पहचान करने के लिए मुश्किल था, लेकिन शुक्र है कि AWS की सुरक्षा टीम घंटे के भीतर मालिक पर रिपोर्ट पारित करने में सक्षम थी और इसके तुरंत बाद सार्वजनिक उपयोग बंद कर दिया गया था।”

डियरडॉर्फ से हमने पूछा कि क्या उनकी कंपनी उन लोगों को सूचित करने की योजना बना रही है जिनकी जानकारी सुरक्षा चूक से उजागर हुई थी। हमें तुरंत कोई प्रतिक्रिया नहीं मिली।