Un servidor no protegido que almacena millones de registros de llamadas y mensajes de texto se dejó abierto durante meses antes de que un investigador de seguridad los descubriera.

Si pensabas que habías escuchado esta historia antes, no te equivocas. En noviembre, otra compañía de telecomunicaciones, Voxox,  expuso una base de datos que contenía millones de mensajes de texto , incluidos restablecimientos de contraseñas y códigos de dos factores.

Esta vez, es una compañía diferente: Voipo, un proveedor de comunicaciones de Lake Forest, California, expuso decenas de gigabytes de datos de clientes.

El investigador de seguridad Justin Paine encontró la base de datos expuesta la semana pasada y se acercó al director de tecnología de la compañía. Sin embargo, la base de datos se desconectó antes de que Paine incluso le dijera dónde buscar.

Voipo es un proveedor de voz a través de Internet que proporciona servicios de línea telefónica residencial y comercial que pueden controlarse en la nube. El backend de la compañía enruta llamadas y procesa mensajes de texto para sus usuarios. Pero debido a que una de las bases de datos de ElasticSearch no estaba protegida con una contraseña, cualquiera podía mirar y ver secuencias de registros de llamadas y mensajes de texto en tiempo real enviados.

Es una de las violaciones de datos más grandes del año, hasta el momento, con un total de cerca de siete millones de registros de llamadas, seis millones de mensajes de texto y otros documentos internos que contienen contraseñas no cifradas que, de haber sido utilizadas, podrían haber permitido a un atacante obtener un acceso profundo a los sistemas de la empresa.

TechCrunch revisó algunos de los datos y encontró direcciones web en los registros que apuntaban directamente a las páginas de inicio de sesión del cliente. (No usamos las credenciales, ya que hacerlo sería ilegal).

Paine dijo, y señaló en su informe , que la base de datos estaba expuesta desde junio de 2018, y que contiene registros de llamadas y mensajes que se remontan a mayo de 2015. Le dijo a TechCrunch que los registros se actualizaban a diario y subían hasta el 8 de enero, el día La base de datos fue desconectada. Muchos de los archivos contenían registros de llamadas altamente detallados de quién llamó a quién, la fecha y hora, y más.

Un registro que muestra una llamada entrante. (Captura de pantalla: TechCrunch. Datos: Justin Paine)

Algunos de los números en los registros de llamadas fueron borrados, dijo Paine, pero los registros de mensajes de texto contenían tanto el remitente como el destinatario, y el contenido del mensaje en sí.

Un mensaje de texto SMS enviado justo después de Año Nuevo. (Captura de pantalla: TechCrunch. Datos: Justin Paine)

Al igual que en la violación de Voxox del año pasado, Paine dijo que cualquier mensaje de texto interceptado que contenga códigos de dos factores o enlaces para restablecer la contraseña podría haber «permitido al atacante omitir dos factores en la cuenta del usuario», dijo en su informe . (Otra buena razón por la que debes  actualizar a la autenticación basada en la aplicación ).

Pero Paine no realizó una búsqueda exhaustiva de los registros, teniendo en cuenta la privacidad de los clientes.

Los registros también contenían credenciales que permitían el acceso al proveedor de servicios de E911 de Voipo, lo que permite que los servicios de emergencia conozcan la ubicación de la persona en la que se haya registrado previamente en función de su número de teléfono. Peor aún, dijo, los servicios E911 podrían haber sido deshabilitados, lo que hace que los clientes no puedan usar el servicio en una emergencia.

Otro archivo contenía una lista de dispositivos de dispositivos de red con nombres de usuario y contraseñas en texto plano. Una revisión rápida mostró que los archivos y registros contenían una visión meticulosamente detallada e invasiva del negocio de una persona o compañía, con quién están hablando y, a menudo, por qué motivo.

Sin embargo, ninguno de los datos fue encriptado.

En un correo electrónico, el director ejecutivo de Voipo, Timothy Dick, confirmó la exposición de los datos, y agregó que se trataba de «un servidor de desarrollo y no parte de nuestra red de producción». Paine lo discute, dados los detalles y la cantidad de datos expuestos en la base de datos. TechCrunch tampoco tiene motivos para creer que los datos no sean datos reales de los clientes.

Dick dijo en un correo electrónico a TechCrunch: «Casi inmediatamente después de que se comunicó con nosotros para informarnos de que el servidor de desarrollo estaba expuesto, lo desconectamos e investigamos y corregimos el problema». Agregó: «En este momento, sin embargo, no hemos encontrado cualquier evidencia en los registros o en nuestra red para indicar que se produjo una violación de datos «.

A pesar de preguntar varias veces, Dick no dijo cómo la compañía llegó a la conclusión de que nadie más accedió a los datos.

Dick también dijo: «Todos nuestros sistemas están detrás de firewalls y similares y ni siquiera permiten conexiones externas, excepto desde servidores internos, por lo que incluso si los nombres de host estuvieran en la lista, no sería posible conectarse y nuestros registros no muestran ninguna conexión». (Cuando verificamos, muchos de los sistemas internos con direcciones IP o IP que verificamos cargados, a pesar de que estábamos fuera del presunto firewall).

Sin embargo, en un correo electrónico a Paine, Dick reconoció que algunos de los datos en el servidor «parecen ser válidos».

Dick no se comprometió a notificar a las autoridades la exposición según las leyes estatales de notificación de violación de datos.

«Continuaremos investigando y si encontramos alguna evidencia de una infracción o algo en nuestros registros que lo indique, por supuesto tomaremos las medidas apropiadas para solucionarlo [y] haremos notificaciones», dijo.