Erro de configuração de nuvem leva call center a expor 114 mil arquivos

Maioria dos arquivos eram gravações de áudio de conversas telefônicas entre atendentes da CallX e clientes das empresas que utilizam seus serviços
Da Redação
04/03/2021

Um erro de configuração de nuvem levou uma das maiores empresas de telemarketing dos Estados Unidos a expor 114 mil arquivos com gravações de áudio de conversas telefônicas com seus clientes. Trata-se da empresa californiana CallX, cujos serviços analíticos são usados ​​por clientes para melhorar suas vendas de mídia e marketing de entrada.

A equipe da vpnMentor encontrou o bucket (container) não seguro AWS S3 em 24 de dezembro do ano passado. Ele foi rastreado até a CallX. De acordo com o site da empresa, entre seus principais clientes estão a plataforma de empréstimos Lendingtree, a Liberty Mutual Insurance e a fornecedora de segurança inteligente Vivint.

Os pesquisadores da vpnMentor encontraram os 114 mil arquivos deixados publicamente acessíveis no “container furado”. A maioria desses arquivos eram gravações de áudio de conversas telefônicas entre atendentes da CallX e clientes das empresas que utilizam seus serviços, que estavam sendo monitoradas pelo software de marketing da companhia de telemarketing.

Outras 2.000 transcrições de bate-papos de texto também estavam visíveis. As informações de identificação pessoal contidas nesses arquivos incluem nomes completos, endereços residenciais, números de telefone e muito mais.

Veja isso
Configuração errada ganha título de ameaça #1 em segurança de nuvem
Configuração errada revela IPs na Dark Web

Com os dados vazados, os invasores podem lançar ataques convincentes de phishing, fraude e vishing, alerta a vpnMentor. “Se os cibercriminosos precisassem de informações adicionais, eles poderiam sequestrar as chamadas registradas pela CallX e fazer chamadas telefônicas de ‘acompanhamento’ falsas ou e-mails se passando por um representante da empresa cliente”, afirma a empresa em seu alerta. “Usando as transcrições, seria fácil estabelecer confiança e legitimidade com os alvos em tais esquemas. Como as pessoas expostas não têm relação aparente umas com as outras, quando a fraude for descoberta, pode ser tarde demais.”

A CallX também pode ser alvo de escrutínio de órgãos reguladores dos EUA, pois está sob a jurisdição da nova lei de privacidade da Califórnia CCPA.

Segundo a vpnMentor o container permanece aberto. A equipe de pesquisa entrou em contato com a empresa em 3 de janeiro e depois com a AWS em 6 de janeiro, mas até o momento a CallX não retornou. Acredita-se que a provedora de nuvem também tenha contatado a CallX avisando sobre o vazamento, e o US-CERT foi informado.

A configuração incorreta do armazenamento em nuvem não é apenas um problema de segurança, mas pode rapidamente se tornar um grande risco para os negócios. “Devido à má publicidade que uma violação de dados como essa pode criar, os clientes da CallX podem se distanciar da empresa e mudar para fornecedores de software rivais”, alerta a vpnMentor. “Esses mesmos rivais poderiam explorar a violação para atrair clientes CallX por meio de campanhas de marketing negativas.” 

Para ter acesso ao relatório completo da vpnMentor acesse: https://www.vpnmentor.com/blog/report-callx-breach/

Compartilhar:

Últimas Notícias