Telemarketing-Biz enttarnt 114.000 in Cloud-Konfigurationsfehler

Cyber Security News

Eine US-Telemarketing-Firma hat die persönlichen Daten von möglicherweise zehntausenden von Verbrauchern preisgegeben, nachdem sie einen Cloud-Speicher-Bucket falsch konfiguriert hatte, wie Infosecurity enthüllen kann.

Ein Team von vpnMentor unter der Leitung von Noam Rotem fand den ungesicherten AWS S3-Bucket am 24. Dezember letzten Jahres. Es wurde zu dem kalifornischen Unternehmen CallX zurückverfolgt, dessen Analysedienste offenbar von Kunden genutzt werden, um ihren Medieneinkauf und ihr Inbound-Marketing zu verbessern.

Laut seiner Website zählt das Unternehmen den Kreditmarktplatz Lendingtree, die Liberty Mutual Insurance und den Smart Security-Anbieter Vivint zu seinen Kunden.

Rotem fand 114.000 öffentlich zugängliche Dateien in dem undichten Eimer. Die meisten davon waren Audioaufnahmen von Telefongesprächen zwischen CallX-Kunden und ihren Kunden, die von der Marketing-Software der Firma verfolgt wurden. Weitere 2000 Transkripte von Textchats waren ebenfalls einsehbar.

Zu den in diesen Dateien enthaltenen personenbezogenen Informationen (PII) gehörten vollständige Namen, Privatadressen, Telefonnummern und mehr.

Mit den durchgesickerten Daten könnten Angreifer überzeugende Phishing-, Betrugs- und Vishing-Angriffe starten, warnte vpnMentor.

“Wenn Cyber-Kriminelle zusätzliche Informationen benötigten, könnten sie von CallX protokollierte Anrufe kapern und gefälschte ‘Folgeanrufe’ oder E-Mails tätigen, die sich als Vertreter des betreffenden CallX-Kundenunternehmens ausgeben”, hieß es.

“Mit Hilfe der Transkripte wäre es einfach, Vertrauen und Legitimität bei den Zielpersonen solcher Schemata aufzubauen. Da die enttarnten Personen keine offensichtliche Beziehung zueinander haben, kann es zu dem Zeitpunkt, an dem der Betrug entdeckt wird, bereits zu spät sein.”

CallX könnte auch dem Risiko einer behördlichen Überprüfung ausgesetzt sein, da es unter die Zuständigkeit des neuen kalifornischen Datenschutzgesetzes CCPA fällt.

Leider bleibt der Eimer zum Zeitpunkt des Schreibens offen. Sowohl Infosecurity als auch vpnMentor haben versucht, CallX zu kontaktieren, ohne eine Antwort zu erhalten. Das Forschungsteam wandte sich zuerst am 3. Januar 2021 an das Unternehmen und dann am 6. Januar an AWS. Es wird angenommen, dass der Cloud-Anbieter CallX ebenfalls über das Leck kontaktiert hat, und das US-CERT wurde informiert.

Eine Fehlkonfiguration von Cloud-Speicher ist nicht nur ein Sicherheitsproblem, sondern kann schnell zu einem großen Geschäftsrisiko werden.

“Aufgrund der schlechten Publicity, die eine Datenpanne wie diese verursachen kann, könnten sich die Kunden von CallX von dem Unternehmen distanzieren und zu konkurrierenden Software-Anbietern wechseln”, warnt vpnMentor. “Dieselben Konkurrenten könnten die Verletzung ausnutzen, um CallX-Kunden durch negative Marketing-Kampagnen abzuwerben.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com