[信息泄漏] Broadvoice 暴露了 3.5 億條 b-hive 基于云通信的客戶記錄

Broadvoice是一家為中小型企業提供服務的著名VoIP提供商，已經泄露了超過3.5億條與該公司的“b-hive”基于云的通信套件有關的客戶記錄。

這些數據包括數十萬份語音郵件記錄，其中許多涉及敏感信息，如醫療處方和金融貸款的細節。

Broadvoice提供了較為流行的通信業務平臺之一，其中包括語音，聯絡中心技術，遠程工作人員幫助，Salesforce.com集成，統一通信，SIP中繼等等。其中大部分是通過b-hive提供的，它代表客戶（例如醫生辦公室，律師事務所，零售店，社區組織等）托管。

由于其技術支撐著這些客戶與患者，客戶，合作伙伴，供應商和其他人之間的基本互動，因此大量個人數據會通過Broadvoice的基于云的系統流動。該數據顯然由公司保留，以便其業務客戶可以在需要時訪問它，以進行分析和呼叫中心質量控制。

不幸的是，據Comparitech的研究人員稱，Broadvoice留下了一個Elasticsearch數據庫集群，其中包含了互聯網上開放的這些信息，任何人都可以訪問而無需身份驗證。他們指出，數據緩存包括記錄，記錄中包含Broadvoice客戶的個人詳細信息。

錯誤配置的集群包括10個與b-hive相關的獨立數據集合。

最大的集合（2.75億條記錄）包括完整的呼叫者姓名，呼叫者ID，電話號碼以及城市和州。同時，一個名為“人為生產”的館藏包含Broadvoice自己客戶的帳戶ID號，這使研究人員可以交叉引用條目和其他館藏中的記錄。

但最令人擔憂的是擁有200萬條語音郵件記錄，其中有20萬多個筆錄。

根據Comparitech在周四發布的消息：“許多筆錄中包含了一些個人詳細信息，例如全名，電話號碼和出生日期，以及一些敏感信息。” “例如，一些留在診所的語音郵件記錄包括處方名稱或有關醫療程序的詳細信息。在一個筆錄中，來電者用自己的全名進行了識別，并討論了COVID-19陽性診斷。”

研究人員補充說：“留給金融服務公司的其他語音郵件包括有關抵押和其他貸款的詳細信息，而至少有一個保險政策號碼被披露。”

這些記錄中的大多數還包含全名，公司名稱或通用名稱，例如“無線呼叫者”；電話號碼; 語音信箱的名稱或標識符（例如“約會”）；和內部標識符（根據Comparitech）。

營銷部副總裁麗貝卡·羅森（Rebecca Rosen）在對Broadvoice的數據保留政策以及其業務客戶是否將向其受影響的客戶發布數據泄露通知發表評論時表示，受影響的企業數量可能少于10,000 。

她說：“為了提供一些見解，我們認為研究人員訪問了可能影響不到10,000個客戶的子數據集。” “否則，我們的調查正在進行中，除了在線發布的內容外，我們沒有其他評論或推測。”

研究人員指出，除了隱私問題外，數據還為說服欺詐行為鋪平了道路。

Comparitech表示：“泄漏的數據庫代表了大量信息，可幫助促進針對性的網絡釣魚攻擊。” “在欺詐者手中，這將提供一個成熟的機會，使Broadvoice客戶及其客戶蒙受更多信息的欺騙，并有可能轉移資金。例如，犯罪分子可能冒充Broadvoice或其客戶之一來說服客戶提供諸如帳戶登錄憑據或財務信息之類的東西。”

同時，“有關醫療處方和貸款查詢之類的信息可以用來使消息極具說服力和說服力。”

據Broadvoice稱，這些藏品是由研究人員Bob Diachenko于10月1日發現的，并在同一天獲得了保護。該群集已于9月28日上載，這意味著它已暴露了大約四天。

Broadvoice首席執行官Jim Murphy在一份聲明中說：“Broadvoice認真對待數據隱私和安全性。” 他補充說：“在這一點上，我們沒有理由相信數據有任何濫用。我們目前正在與第三方取證公司合作，以分析這些數據，并將為我們的客戶和合作伙伴提供更多信息和更新。我們目前無法進一步推測這個問題。”

他還說，Broadvoice正在與Diachenko合作，以確保保留的數據被銷毀。