VoIP公司BroAdvoice在不安全的Elasticsearch上泄露3.5亿客户记录

在一个配置错误导致几个在线数据库暴露后，一家总部位于美国的VoIP提供商被发现泄露了超过3.5亿条客户记录。

研究人员鲍勃·迪亚琴科(Bob Diachenko)于10月1日发现了属于BroAdvoice的未受保护的Elasticsearch数据库集群。

这10个数据库中包括一个包含超过2.75亿条记录的数据库。它提供了来电者的完整姓名、识别号码、电话号码、州和城市。

从隐私的角度来看，也许更危险的是另一个超过200万条记录的集合，其中包括姓名、电话号码，对于20万条记录，还包括通话记录。

据与迪亚琴科合作处理此案的比较技术公司称，其中一些文字记录本身包含敏感细节，如留在医疗诊所和金融服务公司的语音邮件。

“泄露的数据库代表了丰富的信息，可能有助于促进有针对性的网络钓鱼攻击。在诈骗者手中，这将提供一个成熟的机会，以欺骗BroAdvoice客户和他们的客户获得额外的信息，并可能交出资金，“比较技术公司辩称。

例如，犯罪分子可以冒充BroAdvoice或其客户之一，说服客户提供帐户登录凭据或财务信息等内容。

它补充说，一些暴露的数据，如保险单号码和金融贷款细节，甚至可以用来尝试身份欺诈，而不需要进一步的网络钓鱼。

然而，BroAdvoice在10月1日对通知做出了相对较快的反应，在10月4日之前修复了隐私混乱。

该公司首席执行官吉姆·墨菲(Jim Murphy)声称，这些数据在9月28日“无意中”存储在一个不安全的数据库中，并表示已经通知了执法部门，并已启动调查。

“在这一点上，我们没有理由相信有任何数据被滥用，”他继续说。

我们目前正在聘请第三方取证公司分析这些数据，并将向我们的客户和合作伙伴提供更多信息和更新。我们现在不能对这个问题作进一步的推测。我们对此可能造成的不便深表歉意。“