誰要為這篇文章中的數據泄露負責?對最終用戶的影響(如果是B2B)數據泄露對公民的影響如何保護您的數據以及為什麽我們報告數據泄露什麽是網站星球?
公司名稱和位置:CivicomInc.,位於美國
Size(GB和記錄數量):100000多個文件,超過8tb
數據存儲格式:AWSS3Bucket
受影響國家:USA
網站星球安全團隊發現了壹個影響B2B會議服務CivicomInc.
的數據漏洞。這家美國公司專門從事在線視頻會議,在沒有適當的用戶身份驗證程序的情況下,讓AmazonS3存儲桶處於開放和可訪問狀態。結果,Civicom的bucket曝光了超過10萬份屬於其客戶的視頻和音頻文件。
這些文件使用Civicom平臺廣泛記錄客戶企業員工之間的會議。Civicom的違規行為可能會損害許多公司,這些公司的敏感數據包含在bucket的內容中。
暴露的客戶數據總的來說,CivicomInc.配置錯誤的AWSS3存儲桶暴露了100000多個文件,相當於超過8TB的數據。這些數據屬於Civicom的客戶企業。
我們確定了四個獨立的數據集,它們根據Civicombucket上的文件擴展名進行分類。這些數據集暴露了客戶會議的內容:
會議視頻ClippedHighlights音頻記錄音頻記錄數千小時的視頻和音頻記錄,以及數百份書面記錄,暴露了Civicom客戶的私人對話。
在這些對話中,許多企業可能已經討論過:
敏感的公司數據(包括可能的市場調研電話);商業秘密;以及知識產權。
值得壹提的是,許多客戶企業都有員工,他們的信息暴露在桶中。
Civicom客戶員工的PII包括:
全名;以及員工面部和身體的圖像。
Bucket在發現時已上線並正在更新,自2018年2月起已上線。亞馬遜不對Civicombucket的管理負責,這種數據泄露不是亞馬遜的錯。
會議視頻被錄制並上傳到Civicom的bucket上。許多會議視頻的長度在壹到兩個小時之間,但有些視頻比這個時間段短或長。此外,還使用360°攝像頭拍攝了大量視頻。
Clippedhighlights是服務器上公開的另壹種視頻形式。這些視頻顯示了會議中討論的最重要的信息片段。妳可以在下面看到每種視頻類型的截圖。
桶裏也有會議錄音。錄音是桶裏最大的文件集合,但我們無法確認這些文件是否記錄了與視頻格式相同的會議。
CivicomS3存儲桶中存儲的大部分音頻轉錄本是由自動將音頻轉換為文本的AWS服務AmazonTranscribe創建的。壹些抄本也是使用公民服務TrancriptionWing創建的。會議記錄的數量很少,最近被添加到了存儲桶中。每次記錄都是在我們發現Civicom存儲桶的兩個月內上傳的。
雖然我們可以看到Civicom客戶使用的補充技術的證據,如AWS轉錄,但這些技術對Civicom的數據泄露不負任何責任。
由於明顯的原因,我們不能分享錄音的截圖。然而,妳可以在下面的圖片中看到轉錄的證據。
如果不檢查服務器上存儲的數萬小時內容,就很難估計受影響企業的確切數量。出於道德原因,我們沒有分析桶上的所有文件。因此,可能會有許多企業在討論敏感的公司數據、商業秘密和知識產權。
暴露的企業可能會面臨破壞性後果,而Civicom可能會因此受到法律審查。
誰受到影響CivicomInc.是壹家B2B公司,因此,企業受到這種數據暴露的影響,而不是消費者。使用Civicom平臺的客戶企業的壹些員工也在服務器內容中被點名和拍照,這可能再次影響曝光的企業。
Civicom“GlideCentral”軟件的用戶是主要受影響的客戶。我們之所以知道這壹點,是因為服務器的內容符合音頻和視頻管理軟件的功能,例如剪輯關鍵點功能。
Civicom在幾乎所有可以想象的行業都有客戶,盡管我們調查的很多內容都提到了健康和法律話題。其他會議涉及各種不同的商業話題。
我們懷疑壹些美國公民可能因為參加焦點小組、調查和其他企業與公眾接觸的會議而在服務器上被曝光。然而,我們無法證實這壹假設。
誰對違規行為負責CivicomInc.成立於2000年,是壹家專門從事B2B視頻會議的“其他電信”技術公司。盡管Civicom提供了壹系列服務,包括會議、協作和網絡研討會平臺,輔以營銷研究和行政協助服務,甚至還有壹款移動旅遊應用程序。
熱門服務包括Civicom會議、Civicom大型活動電話、Civicom營銷研究服務和轉錄服務。
Civicom在過去20年裏收購了其他幾家公司。2012年,Civicom與網絡研討會技術提供商ConferTel合並。這次合並使Civicom進入了全面服務、專業管理的網絡研討會市場。
CivicomInc.在8個地點雇傭了200多名員工。該公司總部位於紐約市,在美國各地設有其他辦事處,包括紐約州拉克蒙特;馬薩諸塞州牛頓;科羅拉多州丹佛;Civicom在世界各地都有辦事處,包括在英國倫敦的辦事處,以及在菲律賓馬尼拉和宿務設有辦事處的太平洋分公司。
Civicom的壹些姐妹公司和服務的總部也位於美國康涅狄格州格林威治。
對最終用戶的影響(如果是B2B)
我們不能也不知道惡意行為者是否獲得了對Civicom開放式AWSS3bucket內容的訪問權。然而,壞演員可能已經找到了Civicom的桶。
在這種情況下,犯罪分子和競爭對手可能擁有大量敏感的公司數據、行業機密和知識產權。該服務器的內容表明,商業間諜和破壞是暴露在外的Civicom客戶的首要風險因素。
商業間諜和破壞桶中的內容可能會給企業帶來真正的問題。競爭對手的企業可能會從黑客或惡意參與者那裏獲取桶中的內容。競爭對手可能有興趣了解更多有關暴露企業的信息,以獲得競爭優勢。
競爭對手可以通過觀看泄露的視頻、聽錄音和閱讀會議記錄來發現公司的敏感數據。重點視頻可以讓窺探者即時獲得最有價值的公司信息和見解片段。
許多客戶企業的員工也暴露了自己的姓名和形象。競爭對手可以利用這些詳細信息,以及代表了解到的競爭對手信息,通過電話或電子郵件釣魚以獲取更敏感的公司數據。例如,來自競爭對手企業的人可能會在冒充員工、引用同事姓名以建立信任,以及就會議討論的話題發起對話以挖掘更敏感的信息或行業機密時給暴露的企業打電話。
根據可用信息的具體情況,競爭對手可以通過多種方式利用bucket的內容來破壞暴露的用戶或獲得優勢。例如,競爭對手的企業可能會削弱與客戶討論交易的曝光企業,或者他們可以竊取桶中發現的秘密,並在自己的企業內實施相應的變更。
對Civicom的影響CivicomInc.可能會受到法律影響,而該公司可能會因為該數據泄露而面臨更廣泛的影響
數據隱私侵犯Civicom已經暴露了無數企業的敏感信息,以及客戶企業的眾多員工的姓名和圖像。作為壹家主要為美國客戶服務的美國企業,Civicom可能會受到聯邦貿易委員會(FTC)的審查。
聯邦貿易委員會保護美國公民和企業的敏感和非公開數據。《聯邦貿易委員會法》管轄影響商業的不公平或欺騙性商業行為或做法。根據《聯邦貿易委員會法》第5條,任何違法行為的最高處罰為罰款1億美元,嚴重案件中的犯罪方將被監禁。
業務損失Civicom在數據曝光後可能會經歷短期業務損失。壹些客戶可能會出於對公司數據的擔憂而選擇離開Civicom,轉而使用其他服務。潛在客戶可能最終也會因為這個原因選擇另壹家供應商。
競爭間諜其他會議和電信提供商可以訪問Civicombucket的內容,以了解Civicom的客戶。競爭對手可能會通過報價聯系暴露在外的客戶,試圖從Civicom竊取業務。數據泄露狀態我們於202110月28日發現了AWSS3bucket。202110月30日,我們向Civicom發送了壹條關於compa的消息