BroAdoice是一家面向中小企业的VoIP提供商,它已经泄露了超过3.5亿份客户记录,其中包括数千份语音邮件记录,其中许多包括医疗和财务信息

2020-10-17 11:25:22

使用BroAdvoice基于云的VoIP平台的公司可能会发现他们的患者、客户、供应商和合作伙伴受到大规模数据暴露的影响。

BroAdvoice是一家服务于中小企业的知名VoIP提供商,它已经泄露了超过3.5亿条客户记录,这些记录与该公司基于云的通信套件“b-hive”有关。

这些数据包括数十万份语音邮件记录,其中许多涉及敏感信息,如有关医疗处方和金融贷款的细节。

BroAdvoice提供了较为流行的通信业务平台之一,其中包括语音、联系中心技术、远程员工帮助、Salesforce.com集成、统一通信、SIP中继等。其中很大一部分是通过b-hive提供的,b-hive代表医生办公室、律师事务所、零售店、社区组织等客户提供服务。

因为它的技术支撑着这些客户与患者、客户、合作伙伴、供应商和其他人的基本互动,大量的个人数据通过BroAdvoice基于云的系统流动。这些数据显然由该公司保留,以便其商业客户在需要时可以访问这些数据,用于分析和呼叫中心质量控制等。

不幸的是,根据比较技术的研究人员的说法,BroAdvoice留下了一个包含这些信息的Elasticsearch数据库集群,对互联网开放,任何人都可以访问,不需要身份验证。他们指出,缓存的数据包括带有BroAdvoice客户个人详细信息的记录。

最大的集合(2.75亿条记录)包括来电者全名、来电者ID、电话号码以及城市和州。与此同时,一个名为“人-产品”的集合包含了BroAdvoice自己客户的账户ID号,这使得研究人员可以将条目与其他集合中的记录进行交叉引用。

但最令人担忧的是,其中一个拥有200万条语音信箱记录,有20多万份文字记录。

“许多成绩单包括精选的个人信息,如全名、电话号码和出生日期,以及一些敏感信息,”根据周四的一篇比较技术帖子。“例如,一些留在医疗诊所的语音信箱文字记录包括处方名称或医疗程序的详细信息。在一份记录中,打电话的人说出了自己的全名,并讨论了新冠肺炎的阳性诊断。

研究人员补充说,“留给金融服务公司的其他语音邮件包括有关抵押贷款和其他贷款的细节,同时至少有一个保险保单号码被披露。”

据比较技术公司称,这些记录中的大多数还包含全名、业务名称或通用名称,如“无线呼叫者”;电话号码;语音信箱的名称或标识符(如“约会”);以及内部标识符。

当记者联系到BroAdvoice的数据保留政策,以及其商业客户是否会向自己的受影响客户发出数据泄露通知时,负责市场营销的副总裁丽贝卡·罗森(Rebecca Rosen)告诉Threatpost,受影响的企业数量可能不到10,000家。

“为了提供一些观点,我们认为研究人员访问了潜在影响不到10,000名客户的数据子集,”她说。“我们的调查正在进行中,除了我们在网上发布的内容外,我们不会以其他方式发表评论或猜测。”

研究人员指出,除了对隐私的影响外,这些数据还为令人信服的欺诈企图铺平了道路。

“泄露的数据库代表了丰富的信息,这些信息可能有助于促进定向网络钓鱼攻击,”根据比较技术公司的说法。“在诈骗者手中,这将提供一个成熟的机会来欺骗BroAdvoice的客户和他们的客户获得额外的信息,并可能让他们交出钱。例如,犯罪分子可以冒充BroAdvoice或其客户之一,说服客户提供账户登录凭证或财务信息等信息。

同时,“像医疗处方和贷款查询这样的信息可以被用来使信息非常令人信服和有说服力。”

据BroAdvoice称,这些藏品是由研究人员鲍勃·迪亚琴科(Bob Diachenko)于10月1日发现的,并于同一天得到保护。该群集已于9月9日上传。28,这意味着它被曝光了大约四天。

BroAdvoice首席执行官吉姆·墨菲(Jim Murphy)在一份声明中表示:“BroAdvoice认真对待数据隐私和安全。”他补充说,“在这一点上,我们没有理由相信有任何数据被滥用。我们目前正在聘请第三方取证公司分析这些数据,并将向我们的客户和合作伙伴提供更多信息和更新。目前我们不能对这一问题进行进一步猜测。“。

他还表示,BroAdvoice正在与迪亚琴科合作,以确保将保留的数据销毁。

这篇报道更新于下午1点。美国东部时间10月15日,将BroAdoice负责市场营销的副总裁的一份声明包括在内。