Voipo发生严重的数据泄露：价值数十亿美元的客户资料被曝光

去年 11 月，一家名为 Voxox 的电信企业不慎泄露了一个包含数百万条短信的数据库，其中包括了密码重置和双因素认证代码。在安全研究人员曝光之前，其安全漏洞已向攻击者敞开数月。由于服务器未受保护，本次事件导致数百万份呼叫日志和文本消息被泄露。令人惊恐的是，时隔两月，另一家名叫 Voipo 通信提供商，又泄露了价值数十亿美元的客户数据。

Voipo 是一家总部位于加利福尼亚州 Lake Forest 的互联网语音服务提供商，提供面向住宅和商用的电话服务，并且支持云端控制。

上周，安全研究员 Justin Paine 找到了暴露的数据库，并与该公司的首席技术官取得了联系。然而在 Paine 通报之前，Voipo 的数据库就已经脱机了。

据悉，该公司的后端路由，可用于为其用户调度和处理文本消息。

但由于其中一个后端的 ElasticSearch 数据库未受到密码保护，因此任何人都可以查询双向发送的实时呼叫日志和文本消息流。

作为 2019 年最大规模的数据泄露事件之一，迄今已有 700 万通话和600 万短信纪录、以及其它包含未加密密码的内部文档被泄露。

若被攻击者拿到这些凭证，将使之获得对企业系统的深度访问权限。外媒在审查了部分数据后发现，某些日志中的网址，竟直接指向客户的登录页面。

Paine 在博客文章中指出，数据库自 2018 年 6 月开始被曝光，并包含了可追溯至 2015 年 5 月的电话和短信日志。

每天更新的日志，已经更新到 1 月 8 号 —— 数据库于当日正式脱机，但许多文件包含了非常详细的呼叫纪录、呼叫方、日期、时间等机密信息。

尽管呼叫日志中的一些号码被打码，但短信日志里的收件人和发件人信息（以及邮件正文），都是完全裸露的。

与去年的 Voxox 漏洞类似，任何截获的包含双因素代码或密码重置链接的短信，都使得攻击者有机会绕过用户账户的双因素认证。

更糟糕的是，日志还包含了允许 Voipo 访问 E911 服务提供商的凭证 —— 这项服务允许急救服务方根据用户预先设置的位置等信息来采取行动。

糟糕的是，Paine 表示，E911 服务或已被禁用，可能导致这些客户无法在紧急情况下获得救助。

在一封电子邮件中，Voipo 首席执行官 Timothy Dick 证实了本次数据泄露，但补充道：“这只是一台开发服务器，并不是我们生产网络的一部分”。

Dick 声称该公司将所有系统都放在了防火墙之后，因此可以阻绝外部连接。然而该公司并没有遵从该州的规定、及时地向当局通报此事。