Нарушение правил безопасности привело к появлению в открытом доступе базы данных телекоммуникационной компании Voxox, базирующейся в Калифорнии, пишет TechCrunch.
Сервер компании не был защищен паролем, позволяя любому, кто знал, где искать, отслеживать поток текстовых сообщений пользователей (SMS) почти в реальном времени — в привязке к конкретному номеру телефона.
На момент когда уязвимость была обнаружена независимым специалистом по кибербезопасности, на нем хранилось как минимум 26 млн SMS-сообщений. Среди них были, в частности, коды двухфакторной аутентификации для учетных записей Google, временные пароли для интернет-банков, коды для трекинга посылок с Amazon, коды для сброса учетной записи Microsoft.
Изучение содержимого базы показало, что пользователи часто отправляют друг другу данные, которые не предназначены для открытой пересылки. На сервере можно было найти медицинскую информацию — например, напоминая пациентам о времени записи к тому или иному специалисту, которые рассылают небольшие клиники.
После запроса TechCrunch Voxox закрыл уязвимость. Кевин Герц, соучредитель Voxox и ее главный технический директор, сообщил изданию, что компания «изучает проблему». РБК направил запрос в Voxox.
По данным журнала РБК, в России объем российского рынка пользовательских данных составил в 2017 году не менее 3,3 млрд руб. При этом реальные обороты могут быть еще выше: бóльшая часть сделок по продаже персональной информации проходит в серой зоне.
Наталья Демченко