banner senha segura
senhasegura

Erro de configuração de nuvem leva call center a expor 114 mil arquivos

Maioria dos arquivos eram gravações de áudio de conversas telefônicas entre atendentes da CallX e clientes das empresas que utilizam seus serviços
Da Redação
04/03/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um erro de configuração de nuvem levou uma das maiores empresas de telemarketing dos Estados Unidos a expor 114 mil arquivos com gravações de áudio de conversas telefônicas com seus clientes. Trata-se da empresa californiana CallX, cujos serviços analíticos são usados ​​por clientes para melhorar suas vendas de mídia e marketing de entrada.

A equipe da vpnMentor encontrou o bucket (container) não seguro AWS S3 em 24 de dezembro do ano passado. Ele foi rastreado até a CallX. De acordo com o site da empresa, entre seus principais clientes estão a plataforma de empréstimos Lendingtree, a Liberty Mutual Insurance e a fornecedora de segurança inteligente Vivint.

Os pesquisadores da vpnMentor encontraram os 114 mil arquivos deixados publicamente acessíveis no “container furado”. A maioria desses arquivos eram gravações de áudio de conversas telefônicas entre atendentes da CallX e clientes das empresas que utilizam seus serviços, que estavam sendo monitoradas pelo software de marketing da companhia de telemarketing.

Outras 2.000 transcrições de bate-papos de texto também estavam visíveis. As informações de identificação pessoal contidas nesses arquivos incluem nomes completos, endereços residenciais, números de telefone e muito mais.

Veja isso
Configuração errada ganha título de ameaça #1 em segurança de nuvem
Configuração errada revela IPs na Dark Web

Com os dados vazados, os invasores podem lançar ataques convincentes de phishing, fraude e vishing, alerta a vpnMentor. “Se os cibercriminosos precisassem de informações adicionais, eles poderiam sequestrar as chamadas registradas pela CallX e fazer chamadas telefônicas de ‘acompanhamento’ falsas ou e-mails se passando por um representante da empresa cliente”, afirma a empresa em seu alerta. “Usando as transcrições, seria fácil estabelecer confiança e legitimidade com os alvos em tais esquemas. Como as pessoas expostas não têm relação aparente umas com as outras, quando a fraude for descoberta, pode ser tarde demais.”

A CallX também pode ser alvo de escrutínio de órgãos reguladores dos EUA, pois está sob a jurisdição da nova lei de privacidade da Califórnia CCPA.

Segundo a vpnMentor o container permanece aberto. A equipe de pesquisa entrou em contato com a empresa em 3 de janeiro e depois com a AWS em 6 de janeiro, mas até o momento a CallX não retornou. Acredita-se que a provedora de nuvem também tenha contatado a CallX avisando sobre o vazamento, e o US-CERT foi informado.

A configuração incorreta do armazenamento em nuvem não é apenas um problema de segurança, mas pode rapidamente se tornar um grande risco para os negócios. “Devido à má publicidade que uma violação de dados como essa pode criar, os clientes da CallX podem se distanciar da empresa e mudar para fornecedores de software rivais”, alerta a vpnMentor. “Esses mesmos rivais poderiam explorar a violação para atrair clientes CallX por meio de campanhas de marketing negativas.” 

Para ter acesso ao relatório completo da vpnMentor acesse: https://www.vpnmentor.com/blog/report-callx-breach/

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório