市场研究和会议服务公司Civicom 8TB数据泄露

市场研究和会议服务公司Civicom 8TB数据泄露

数据泄露概况

公司名称及所在地: Civicom Inc.,位于美国

大小(以 GB 为单位和记录数量): 100,000+ 个文件,超过 8TB

数据存储格式: AWS S3 存储桶

受影响国家:美国

Website Planet安全团队发现了影响 B2B 会议服务 Civicom Inc. 的数据泄露事件。

这家专门从事在线视频会议的美国公司在没有适当的用户身份验证程序的情况下,将其 Amazon S3 存储桶开放且可访问。结果,Civicom 的存储桶暴露了超过 100,000 个属于其客户的视频和音频文件。

这些文件广泛记录了使用 Civicom 平台的客户企业员工之间的会议。Civicom 的违规行为可能会损害一些企业,因为存储桶的内容中包含敏感的公司数据。

客户数据暴露

Civicom Inc. 配置错误的 AWS S3 存储桶总共暴露了100,000 多个文件,相当于超过 8TB 的数据。数据属于 Civicom 客户的企业。

我们确定了四个独立的数据集,这些数据集根据 Civicom 存储桶中存在的文件扩展名进行分类。这些数据集暴露了客户会议的内容:

  • 会议视频
  • 剪辑的亮点
  • 录音
  • 音频成绩单

数千小时的视频和音频记录以及数百份书面记录暴露了Civicom 客户的私人谈话。

在这些对话中,许多企业可能已经讨论过:

  • 敏感的公司数据(包括可能的市场调查电话);
  • 商业机密;
  • 知识产权。

值得一提的是,许多客户企业都有员工的信息暴露在存储桶上。

Civicom 客户员工的公开PII包括:

  • 全名;
  • 员工面部和身体的图像

该存储桶在发现时处于活动状态并正在更新,并且自 2018 年 2 月以来一直处于活动状态。亚马逊不负责管理 Civicom 的存储桶,此数据泄露不是亚马逊的错。

会议视频被录制并上传到 Civicom 的存储桶中。许多会议视频的长度在一到两个小时之间,但有些视频比这个时间范围更短或更长。还使用 360° 相机录制了许多视频。

剪辑的亮点是在服务器上公开的另一种视频形式。这些视频展示了会议中讨论的最重要的信息片段。您可以在下面查看每种视频类型的屏幕截图。

市场研究和会议服务公司Civicom 8TB数据泄露
会议的 360° 视频
市场研究和会议服务公司Civicom 8TB数据泄露
另一个包含几位团队成员的会议视频
市场研究和会议服务公司Civicom 8TB数据泄露
一些视频显示了会议的亮点

存储桶中也存储了会议的录音。录音是存储桶中最大的文件集合,但我们无法确认这些文件是否记录了与视频格式相同的会议。

存储在 Civicom 的 S3 存储桶中的大部分音频脚本都是由 Amazon Transcribe 创建的,Amazon Transcribe 是一种自动将音频转换为文本的 AWS 服务。还使用 Civicom 服务 TracriptionWing 创建了一些转录。会议记录的数量很少,最近才被添加到存储桶中——每个记录都是在我们发现 Civicom 存储桶之日起的两个月内上传的。

虽然我们可以看到 Civicom 的客户使用的补充技术的证据,例如 AWS Transcribe,但这些技术绝不会对 Civicom 的数据泄露负责。

出于显而易见的原因,我们无法共享录音的屏幕截图。但是,您可以在下图中看到转录证据。

市场研究和会议服务公司Civicom 8TB数据泄露
服务器上的会议记录
市场研究和会议服务公司Civicom 8TB数据泄露
使用“TranscriptionWing”的不同类型的成绩单
市场研究和会议服务公司Civicom 8TB数据泄露
此成绩单概述了时间戳

如果不检查存储在服务器上数万小时的内容,就很难估计受影响的企业的确切数量。出于道德原因,我们没有分析存储桶中的每个文件。因此,可能有许多企业在讨论中涉及敏感的公司数据、商业机密和知识产权。

暴露的企业可能会面临破坏性后果,而 Civicom 可能会因数据泄露而受到法律审查。

谁受到影响

Civicom Inc. 是一家 B2B 公司,因此,企业会受到这种数据暴露的影响,而不是消费者。使用 Civicom 平台的客户企业的一些员工在服务器的内容中也被命名和拍照,这可能再次影响暴露的企业。

Civicom 的“Glide Central”软件的用户是受影响最大的客户。我们知道这一点是因为服务器的内容符合音频和视频管理软件的功能,例如剪辑关键点功能。

Civicom 在几乎所有可以想象的行业都有客户,尽管我们调查的大部分内容都提到了健康和法律主题。其他会议涉及各种不同的业务主题。

我们怀疑一些美国公民可能已经暴露在服务器上,因为存在焦点小组、调查和其他企业与公众接触的会议。但是,我们无法证实这一假设。

谁应对违约负责?

Civicom Inc.

成立于 2000 年,是一家专门从事 B2B 视频会议的“其他电信”技术公司。尽管 Civicom 提供一系列服务,其会议、协作和网络研讨会平台辅以营销研究和行政协助服务,甚至还有移动旅行应用程序。

流行的服务包括 Civicom 会议、Civicom 大型活动电话、Civicom 营销研究服务和 TranscriptionWing。

在过去的二十年里,Civicom 已经收购了其他几家公司。2012 年,Civicom 与网络研讨会技术提供商ConferTel 合并。此次合并使 Civicom 进入了全方位服务、专业管理的网络研讨会市场。

Civicom Inc. 在 8 个地点拥有 200 多名员工。该公司总部位于纽约市,在美国各地设有办事处,包括纽约州拉奇蒙特;马萨诸塞州牛顿;科罗拉多州丹佛市;和加利福尼亚州圣地亚哥。Civicom 在世界各地设有办事处,包括在英国伦敦的办事处,以及在菲律宾马尼拉和宿务设有办事处的太平洋分公司。

Civicom 的一些姊妹公司和服务的总部也设在美国康涅狄格州格林威治。

对最终用户的影响(如果是 B2B)

我们不能也不知道恶意行为者是否已经获得了对 Civicom 开放 AWS S3 存储桶内容的访问权限。但是,不良行为者可能已经找到了 Civicom 的存储桶。

在这种情况下,犯罪分子和竞争对手企业可以使用敏感的公司数据、行业机密和知识产权的潜在宝库。服务器的内容表明,商业间谍和破坏是暴露的 Civicom 客户的第一大风险因素。

商业间谍和破坏

桶的内容可能会给企业带来真正的问题。竞争对手的企业可以从黑客或恶意行为者那里获取存储桶的内容。竞争对手企业可能有兴趣更多地了解暴露的企业以获得竞争优势。

竞争对手企业可以通过观看泄露的视频、收听录音和阅读会议记录来找出敏感的公司数据。精彩视频可以让窥探者即时访问最有价值的公司信息片段和洞察力。

许多客户企业的员工的姓名和形象也被曝光。竞争对手企业可以使用这些详细信息以及代表了解竞争对手的信息,通过电话或电子邮件对更敏感的公司数据进行网络钓鱼。例如,来自竞争对手企业的某人可能会在冒充员工时给暴露的企业打电话,引用同事的名字以建立信任,并就会议中讨论的主题发起对话以挖掘更敏感的信息或行业机密。

根据可用信息的具体情况,竞争对手企业可以通过多种方式使用存储桶的内容来破坏暴露的用户或获得优势。例如,竞争对手的企业可能会削弱与客户讨论交易的暴露企业,或者他们可以窃取在桶中发现的秘密并相应地在自己的业务中实施更改。

对 Civicom 的影响

Civicom Inc. 可能会受到法律影响,而该公司可能会因此次数据泄露而面临更广泛的影响

数据隐私违规

Civicom 已经暴露了无数企业的敏感信息,以及来自客户企业的众多员工的姓名和图像。作为一家主要为美​​国客户服务的美国企业,Civicom 可能会受到联邦贸易委员会 (FTC) 的审查。

FTC 保护美国公民和企业的敏感和非公开数据。FTC 法案管辖影响商业的不公平或欺骗性商业行为或做法。根据《联邦贸易委员会法》第 5 条,对任何违法行为的最高处罚是 1 亿美元的罚款,严重案件中的犯罪方可处以监禁。

业务损失

Civicom 在数据暴露后可能会遭受短期的业务损失。出于对公司数据的担忧,一些客户可能会选择离开 Civicom 寻求替代服务。出于这个原因,潜在客户最终也可能会选择另一家供应商。

竞争&间谍

其他会议和电信提供商可以访问 Civicom 存储桶的内容以了解 Civicom 的客户。竞争对手的企业可能会联系暴露的客户提供报价,以试图从 Civicom 窃取业务。

数据泄露状态

我们于 2021 年 10 月 28 日发现了 AWS S3 存储桶。2021 年 10 月 30 日,我们向 Civicom 发送了一条关于公司数据泄露的消息。我们于 2021 年 11 月 1 日跟进了向 Civicom 发送的初始消息,同时还向一些新的 Civicom 联系人发送了消息。在那一刻,我们意识到我们的电子邮件被退回,我们的电子邮件地址似乎被阻止了。2021 年 11 月 15 日,我们向 AWS 发送了有关 Civicom 开放存储桶的电子邮件,并收到了自动回复。

存储桶终于在 2022 年 1 月 26 日得到保护。几天后,我们收到了来自 Civicom 的电子邮件,确认他们已经处理了错误配置。

Civicom 创始人 Dave West 的回复:

“由于数据安全在我们公司得到了大量的时间和关注——见下文——这让我们感到震惊。当我们得知该问题后,该问题立即得到解决,幸运的是,对日志和数据使用情况的分析表明,除了网站星球的监督调查记者幸运地避免披露文件详细信息外,没有证据表明 S3 存储桶已被破坏在漏洞存在的情况下被不良行为者。问题仅限于 Civicom 的众多服务之一。

自上周以来,我们优秀的团队已经进行了两次额外的安全框架更新,以进一步保护我们客户的数据。十多年来,这家公司的每个人都每季度宣誓保密,我们自愿与外部审计师合作,以全面确保遵守有效的政策。我们还为所有员工提供季度编程学习和年度安全培训。该服务最近的渗透测试不包括相关的 S3 存储桶,但它会继续进行。”

保护您的数据

Civicom 及其客户面临的主要威胁是商业间谍活动和破坏活动。虽然恶意方可能已经收集了存储在 Civicom 存储桶中的敏感公司信息,但受影响的一方可以通过有针对性的网络钓鱼尝试来降低丢失信息的风险。

组织应该对员工进行商业间谍活动、网络钓鱼以及保持敏感数据私密性的重要性的教育,除非与可信来源交谈。受影响的公司可以建立允许同事通过电话或电子邮件进行身份验证的系统。通过这种方式,员工可以确定他们正在与值得信赖的同事交谈,而不是恶意行为者。

Civicom(以及一般公司)应检查其拥有或在其控制范围内的任何其他云存储解决方案的安全控制。组织应定期检查其数据库的安全性。

我们如何以及为何报告数据泄露

我们希望帮助我们的读者在使用任何网站或在线产品时保持安全。

不幸的是,负责的公司从未发现或报告大多数数据泄露事件。因此,我们决定开展这项工作,找出使人们处于危险之中的漏洞。

我们遵循道德黑客的原则并遵守法律。我们只调查随机发现的开放、未受保护的数据库,我们从不针对特定公司。

通过报告这些泄漏,我们希望让每个人的互联网更安全。

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。