呼叫中心提供商遇到重大数据泄漏大量电话及VOIP记录泄露

呼叫中心提供商遇到重大数据泄漏大量电话及VOIP记录泄露

暴露的数据库正在使用新日志进行实时更新,而研究人员最初访问了148万个robocall日志.

WebsitePlanet研究团队与IT安全研究员Jeremiah Fowler一起发现了一个不安全的数据库,该数据库没有密码保护,其中包含大量电话记录以及VOIP(互联网协议语音)相关数据。

数据集暴露了将近24小时,并且数据库保持实时增长,每小时有数千次呼叫被添加到记录中。

从暴露开始到再次受到保护,该数据库总共记录了148万个robocall,大部分呼叫都已传出,但也记录了一些回叫。

该数据库属于内华达州里诺市的200 Networks,LLC公司。安全研究人员将发现的发现告知了公司,此后不久,有200个网络限制了公众访问。

由于数据库是开放的,并且可以在任何浏览器中查看并且可以很容易地公开访问,因此任何有恶意的人都可以在没有任何管理凭据的情况下进行更改,例如编辑,下载甚至删除数据

总体而言,根据研究人员,1481280个记录是方便和他们继续增加,直到访问受到限制。公开的记录包含内部信息,SIP,主叫方ID,呼叫路径IP和端口。

此外,还有IP地址形式的主叫方ID号,然后是收件人的电话号码和“目的地号码”。 

由于这种数据泄露,毫无戒心的呼叫者会面临各种风险。除了由于公开电话号码而明显侵犯隐私外,网络罪犯还可以利用IP地址,端口,通路和存储信息等技术记录来更深入地访问网络。

即使是200 Networks公司,也受到很大程度的影响,因为其数据库存在勒索软件的风险,而且据研究人员称,有证据表明有自动的Meow bot攻击的迹象。

进一步的潜在风险包括公司受到中间件和构建信息的攻击(这将为恶意软件提供辅助路径),以及被称为“窃取信息”的可能性。

窃取邮件将使网络罪犯不仅可以“免费”访问呼叫网络,还可以拦截呼叫中的信息,例如账单或付款信息,敏感的业务数据,医疗或其他个人信息,语音邮件,并且列表可以继续。 

此次曝光提供了有争议的自动拨号业务的幕后花絮。

  • 在24小时内进行了1,481,280次呼叫,其中包括日志,公开传出数据和传入电话号码
  • 有关如何拨打电话和来电显示号码的详细信息
  • 数据库每5分钟更新一次,其中包含实时呼叫日志和内部设置(例如IP和VOIP配置设置)
  • 代表许多公司,包括收债公司,医疗保险,投资公司等,在多个州与设在美国的接收者进行了通话。

2020年10月14日,WebsitePlanet 研究小组与安全研究员耶利米·福勒(Jeremiah Fowler)合作,发现了一个非密码保护的数据库,其中包含大量电话记录和VOIP相关数据。数据集暴露了24小时多一点,并且实时增长,每小时产生数千次呼叫。从我发现数据库到保护数据库的时间,它在一天之内就记录了148万笔robocall。几乎所有呼叫都去电了,但是当有人回叫出现在其呼叫者ID上的号码时,系统也会记录下来。该数据库和记录属于内华达州里诺市一家名为200 Networks,LLC的公司。我们立即向我们发送了负责任的披露通知,通知了我们的调查结果,并在不久后限制了200 Networks的公众访问。

Robocalls,一种不受欢迎的做法

生活中几乎没有什么东西能让人像自动电话一样生气。根据最近的一份报告,美国人在2019年估计接到了580亿电话,比2018年的478亿增加了22%。美国联邦通信委员会(FCC)说,他们在2018年收到的所有投诉中有60%是由于机器人电话。

这些呼叫中最糟糕的部分是,它们可以使用称为Internet语音的语音(VOIP)来自世界各地。呼叫者经常使用一种称为“欺骗”的方法来使呼叫者ID号码看起来像是本地号码。当一个人接到电话并看到一个本地号码时,他们通常会以认为是认识的人的身份来接听电话,或者只是打一个重要电话而接听并发现这是收债员或销售电话。

如果您曾经收到过自动打来的电话,您已经知道通常在您回叫该号码时,它会被断开或正在被不知道其号码被自动拨号器使用的人使用。这些呼叫可以如此匿名的事实,使robocall变得如此神秘而又不受欢迎。在大多数情况下,几乎不可能跟踪欺骗性的电话并弄清楚这些电话的来源。

当然,执法人员和电话提供商可以使用一些工具来尝试弄清这些呼叫的来源,但是它是一种猫猫捉迷藏的游戏,其技术和呼叫方法不断变化。自动拨号技术非常便宜且容易发起大规模的robocall活动,这些公司通常会在此过程中隐藏呼叫者的身份。这就是使我的最新发现如此有趣的原因。

我们的发现

在尝试识别数据集的所有者时,我看到了对Inteliquent的多个引用,这些引用连接到用于调用的多个IP地址。在线上发布了许多有关“智能电话”和“垃圾邮件”的消费者投诉。我的下一个合乎逻辑的步骤是与Inteliquent取得有关我的发现的联系。他们非常有帮助,并向我指出了如何识别数据集所有者的正确方向。应该注意的是,Inteliquent不是电话推销员,并且不提供或使用电话推销服务。Inteliquent向使用这些服务提供自己的批发或零售电信服务的其他电信运营商,服务提供商和经销商提供批发电信服务,包括电话号码。我假设200个网络,服务器的实际所有者,

这一发现是业内人士的密切关注,并准确显示了如何进行,管理和记录呼叫。此数据泄漏公开暴露了该过程的内部工作原理,包括Trunk和SIP配置,号码,呼叫者ID记录等。这些呼叫被记录为呼入或呼出,并且有详细记录,记录了此人是否接听电话或挂断电话,在电话上停留了多长时间以及是否使用分层系统进行了转接。会话初始协议(SIP)协议可启用VOIP呼叫。更大的问题是SIP不安全,并且很容易被黑客入侵,因为它是类似于HTML的基于文本的协议,并且在此过程中可能暴露有关呼叫者设备的信息以及有关如何进行呼叫的其他详细信息。

一个非常有趣的发现是,当我发现数据集时,我要做的第一件事就是搜索自己的编号,结果为零。一个小时后,拨打了多个号码并使用* 67功能阻止了自己的号码,我的电话号码出现了。在北美,电话提供商允许使用* 67 服务代码,该代码会阻止您的电话号码显示,并为您提供隐藏电话号码的私密性。但是,我看到记录并记录了我的电话和真实电话号码。对于那些认为* 67呼叫者ID阻止功能的人,它会在您回叫可疑号码时不显示您的电话号码,从而保护您的隐私,这是一个警钟。

泄露的数据库包含什么:

  • 该数据库不受密码保护,可以在任何浏览器(可公开访问)中打开并查看,任何有恶意的人都可以在没有管理凭据的情况下编辑,下载甚至删除数据。(作为安全研究人员,我从不绕过或绕过受密码保护的资产)。
  • 可访问的记录总数为1,481,280,在访问受到限制之前一直在增长。每5分钟更新一次日志。
  • 包含内部信息,SIP,主叫方ID,呼叫路径IP和端口的公开记录。
  • 呼叫者ID(欺骗或掩盖)号码,其形式为IP地址,然后是接收者的电话号码和“目的地号码”。应该注意的是,所有出站呼叫者ID号码都回到了我假定的200 Networks客户或语音邮件系统的位置。
  • 我能够验证大量的电话号码样本,包括债务追回服务,健康福利顾问(保险销售)以及其他多个神秘服务,这些服务仅告诉我将我的个人信息留给代理商回叫。
  • 该数据库存在勒索软件的风险,并且有自动Meow bot攻击的证据。
  • 中间件和构建信息,可能允许恶意软件使用辅助路径。(中间件是将操作系统和应用程序连接在一起的软件;通常称为“软件胶”。如果中间件中存在漏洞或漏洞,则可能是网络的后门)。
  • 网络犯罪分子可以利用这些技术记录(例如IP地址,端口,通道和存储信息)来潜在地更深入地访问网络。

像这样的数据暴露的潜在风险包括可能进行称为“窃取”的操作。这是一个非常古老的术语,它描述了如何破解传统的电话服务以拨打免费的长途电话。现代的窃取信息将涉及在不知道的情况下获得对VOIP服务提供商网络的完全访问权限。网络罪犯不仅可以“免费”访问呼叫网络,还可以尝试拦截呼叫中的信息,例如账单或付款信息,敏感的业务数据,医疗或其他个人信息,语音邮件,并且清单还在继续。

我们并不是在暗示200 Networks曾经经历过或曾经是Phreaking的受害者。我们仅确定现代电话技术在当今和将来面临的潜在安全问题。VOIP呼叫通常使用唯一的IP地址,并且很少对SIP信息进行加密,这使这成为非常现实的威胁。

法律跟不上技术的发展速度

目前尚不清楚他们呼叫的这些号码中的任何一个是否在“请勿呼叫注册表”上。FCC允许公民检查您的号码是否在“请勿呼叫注册表”中,但是您必须使用您要验证的号码进行呼叫,因此我无法验证这些号码是否违反。串扰和欺骗已成为一个问题,以至于2009年美国国会通过了《话务员身份真相法案》,FCC规则禁止任何人以欺骗,造成伤害或错误地获取任何有价值的东西为目的,传递误导性或不准确的来电者身份信息。每次违规最高$ 10,000。反机器人电话法案以压倒性多数通过了国会,并于2019年12月31日由总统签署。

就像自动通话一样令人讨厌,只要符合法律规定,进行大量通话就不是违法的。我并不是在暗示200个网络或他们的客户有任何不当行为,仅是在强调我的发现的同时提高人们对该行业如何使用技术每天进行数百万次呼叫的认识。200 Networks允许其用户使用一系列功能进行自动呼叫或自动拨号呼叫,这些功能包括自定义的语音记录,菜单选择和路由选项,这些功能可以转发到答录机或实时代理。

应该注意的是,我回叫的出站号码是一个IP呼叫,它似乎使用真实号码作为“别名”而被掩盖或欺骗。这意味着,如果您回拨电话号码,您将收到属于我假定是200 Networks客户的代理商或语音邮件。这些号码还通过地理位置或前缀分配为被呼叫的号码。例如,如果呼叫了德克萨斯州号码,则呼出呼叫者ID将来自德克萨斯州区号。在2020年FTC申请中,  200 Networks LLC申请了“编号资源授权”。我只能假设这允许他们使用合法分配的电话号码来遵守法律并具有完整的区号。

根据他们的网站,“ 200 Networks是面向全球企业,联络中心,BPO和收款公司的基于云的语音和消息技术的领先提供商。200 Networks为报纸,收藏,教育,医疗保健,汽车,政治,客户服务和市场营销等多个行业的财富500强公司和企业提供服务。”

在我负责任的披露通知后,200 Networks迅速而专业地采取行动来保护数据库。我收到了一封电子邮件回复,感谢我的调查和通知的详细信息。拥有Internet连接的任何人都可以公开访问该数据库,目前尚不清楚从我发现到数据安全,还有谁可以访问这些记录。这再次提醒我们,大小公司收集和记录数据以确保对这些记录进行加密并采取适当的网络安全保护措施。

from