Una società di telemarketing statunitense ha fatto trapelare i dettagli personali di potenzialmente decine di migliaia di consumatori dopo aver configurato male un bucket di archiviazione cloud.
Un team di vpnMentor guidato da Noam Rotem ha scoperto il bucket AWS S3 non protetto il 24 dicembre dello scorso anno. È stato fatto risalire all’azienda californiana CallX, i cui servizi di analisi sono apparentemente utilizzati dai clienti per migliorare il loro acquisto di media e il marketing in entrata.
Secondo il suo sito web, l’azienda annovera tra i suoi clienti il mercato dei prestiti Lendingtree, Liberty Mutual Insurance e Vivint, il fornitore di sicurezza intelligente.
Rotem ha trovato 114.000 file lasciati pubblicamente accessibili nel bucket che li diffonde senza protezione. La maggior parte di queste erano registrazioni audio di conversazioni telefoniche tra i clienti CallX e i loro clienti, che venivano monitorate dal software di marketing dell’azienda. Erano inoltre visualizzabili altre 2000 trascrizioni di chat di testo.
Le informazioni di identificazione personale (PII) contenute in questi file includevano nomi completi, indirizzi di casa, numeri di telefono e altro ancora.
Con i dati trapelati, gli aggressori potrebbero lanciare convincenti attacchi di phishing, frode e vishing, ha avvertito vpnMentor.
“Se i criminali informatici avessero bisogno di ulteriori informazioni, potrebbero dirottare le chiamate registrate da CallX e fare false telefonate o e-mail di “follow-up” fingendosi rappresentanti dell’azienda cliente CallX in questione”, ha affermato.
“Utilizzando le trascrizioni, sarebbe facile stabilire fiducia e legittimità con gli obiettivi in tali schemi. Poiché le persone esposte non hanno alcuna relazione apparente tra loro, quando la frode è stata scoperta, potrebbe essere troppo tardi”.
CallX può anche essere a rischio di controllo normativo poiché è sotto la giurisdizione della nuova legge sulla privacy californiana CCPA.
Sfortunatamente, il bucket rimane ancora aperto al momento della stesura di questo articolo. Il team di ricerca di vpnMentor ha contattato prima l’azienda il 3 gennaio 2021 e poi AWS il 6 gennaio. Si ritiene che anche il provider di servizi cloud abbia contattato CallX in merito alla fuga di notizie e l’US-CERT sia stato informato.
L’errata configurazione del cloud storage non è solo un problema di sicurezza, ma può rapidamente diventare un grave rischio aziendale.
“A causa della cattiva pubblicità che una violazione dei dati come questa può creare, i clienti di CallX potrebbero prendere le distanze dall’azienda e passare a fornitori di software concorrenti”, ha avvertito vpnMentor. “Quegli stessi rivali potrebbero sfruttare la violazione per attirare i clienti CallX attraverso campagne di marketing negative”.
