VoIP企业Broadvoice数据库配置不当,200万笔语音邮件曝光

提供各种技术研究及比较服务的Comparitech在本周披露,他们通过Shodan.io搜索引擎在网络上,发现一个不必输入凭证就能访问的数据库集群,大约有10个Collection,涉及3.5亿笔记录,其中含有200万笔的语音邮件,追查之下发现该Elasticsearch集群的所有人,为美国专门提供VoIP通信服务的Broadvoice。

在曝光的数据库中,资料量最大的Collection涉及到2.75亿笔记录,内置来电者的姓名、来电号码、电话号码,以及州别与城市;还有一个Collection存放了200万笔的语音邮件记录,其中至少有20万笔纪绿拥有文本档,这些记录同样具备了来电者的姓名、来电号码、语音信箱所有人的姓名,以及内部代码等。

Comparitech表示,许多语音邮件都含有个人或机密信息,例如医疗程序或处方,其中甚至有一个列出全名的邮件讨论的是新冠肺炎(COVID-19)的确诊诊断,另有一些语音邮件涉及贷款细节。

还有一个Collection存放的是Broadvoice的用户账号信息,可用来与其它Collection的内容进行交叉比对。

Comparitech是在今年的10月1日发现该未受保护的集群数据库,当天也是Shodan.io索引该数据库的第一天,而Broadvoice在收到Comparitech的通知之后,隔天就加入了凭证机制以限制访问。

Broadvoice表示,该数据库是在9月28日不小心曝光的,但10月2日就已保全,该公司除了立即展开调查之外,也通知了执法机构,目前并无任何证据显示相关资料曾遭到滥用。