谁要为这篇文章中的数据泄露负责?对最终用户的影响(如果是B2B)数据泄露对公民的影响如何保护您的数据以及为什么我们报告数据泄露什么是网站星球?
公司名称和位置:Civicom Inc.,位于美国
Size(GB和记录数量):100000多个文件,超过8tb
数据存储格式:AWS S3 Bucket
受影响国家:USA
网站星球安全团队发现了一个影响B2B会议服务Civicom Inc.
的数据漏洞。这家美国公司专门从事在线视频会议,在没有适当的用户身份验证程序的情况下,让Amazon S3存储桶处于开放和可访问状态。结果,Civicom的bucket曝光了超过10万份属于其客户的视频和音频文件。
这些文件使用Civicom平台广泛记录客户企业员工之间的会议。Civicom的违规行为可能会损害许多公司,这些公司的敏感数据包含在bucket的内容中。
暴露的客户数据
总的来说,Civicom Inc.配置错误的AWS S3存储桶暴露了100000多个文件,相当于超过8TB的数据。这些数据属于Civicom的客户企业。
我们确定了四个独立的数据集,它们根据Civicom bucket上的文件扩展名进行分类。这些数据集暴露了客户会议的内容:
会议视频
Clipped Highlights
音频记录
音频记录
数千小时的视频和音频记录,以及数百份书面记录,暴露了Civicom客户的私人对话。
在这些对话中,许多企业可能已经讨论过:
敏感的公司数据(包括可能的市场调研电话);商业秘密;以及知识产权。
值得一提的是,许多客户企业都有员工,他们的信息暴露在桶中。
Civicom客户员工的PII包括:
全名;以及员工面部和身体的
图像。
Bucket在发现时已上线并正在更新,自2018年2月起已上线。亚马逊不对Civicom bucket的管理负责,这种数据泄露不是亚马逊的错。
会议视频被录制并上传到Civicom的bucket上。许多会议视频的长度在一到两个小时之间,但有些视频比这个时间段短或长。此外,还使用360°摄像头拍摄了大量视频。
Clipped highlights是服务器上公开的另一种视频形式。这些视频显示了会议中讨论的最重要的信息片段。你可以在下面看到每种视频类型的截图。
桶里也有会议录音。录音是桶里最大的文件集合,但我们无法确认这些文件是否记录了与视频格式相同的会议。
Civicom S3存储桶中存储的大部分音频转录本是由自动将音频转换为文本的AWS服务Amazon Transcribe创建的。一些抄本也是使用公民服务TrancriptionWing创建的。会议记录的数量很少,最近被添加到了存储桶中。每次记录都是在我们发现Civicom存储桶的两个月内上传的。
虽然我们可以看到Civicom客户使用的补充技术的证据,如AWS转录,但这些技术对Civicom的数据泄露不负任何责任。
由于明显的原因,我们不能分享录音的截图。然而,你可以在下面的图片中看到转录的证据。
如果不检查服务器上存储的数万小时内容,就很难估计受影响企业的确切数量。出于道德原因,我们没有分析桶上的所有文件。因此,可能会有许多企业在讨论敏感的公司数据、商业秘密和知识产权。
暴露的企业可能会面临破坏性后果,而Civicom可能会因此受到法律审查。
谁受到影响
Civicom Inc.是一家B2B公司,因此,企业受到这种数据暴露的影响,而不是消费者。使用Civicom平台的客户企业的一些员工也在服务器内容中被点名和拍照,这可能再次影响曝光的企业。
Civicom“Glide Central”软件的用户是主要受影响的客户。我们之所以知道这一点,是因为服务器的内容符合音频和视频管理软件的功能,例如剪辑关键点功能。
Civicom在几乎所有可以想象的行业都有客户,尽管我们调查的很多内容都提到了健康和法律话题。其他会议涉及各种不同的商业话题。
我们怀疑一些美国公民可能因为参加焦点小组、调查和其他企业与公众接触的会议而在服务器上被曝光。然而,我们无法证实这一假设。
谁对违规行为负责
Civicom Inc.成立于2000年,是一家专门从事B2B视频会议的“其他电信”技术公司。尽管Civicom提供了一系列服务,包括会议、协作和网络研讨会平台,辅以营销研究和行政协助服务,甚至还有一款移动旅游应用程序。
热门服务包括Civicom会议、Civicom大型活动电话、Civicom营销研究服务和转录服务。
Civicom在过去20年里收购了其他几家公司。2012年,Civicom与网络研讨会技术提供商ConferTel合并。这次合并使Civicom进入了全面服务、专业管理的网络研讨会市场。
Civicom Inc.在8个地点雇佣了200多名员工。该公司总部位于纽约市,在美国各地设有其他办事处,包括纽约州拉克蒙特;马萨诸塞州牛顿;科罗拉多州丹佛;Civicom在世界各地都有办事处,包括在英国伦敦的办事处,以及在菲律宾马尼拉和宿务设有办事处的太平洋分公司。
Civicom的一些姐妹公司和服务的总部也位于美国康涅狄格州格林威治。
对最终用户的影响(如果是B2B)
我们不能也不知道恶意行为者是否获得了对Civicom开放式AWS S3 bucket内容的访问权。然而,坏演员可能已经找到了Civicom的桶。
在这种情况下,犯罪分子和竞争对手可能拥有大量敏感的公司数据、行业机密和知识产权。该服务器的内容表明,商业间谍和破坏是暴露在外的Civicom客户的首要风险因素。
商业间谍和破坏
桶中的内容可能会给企业带来真正的问题。竞争对手的企业可能会从黑客或恶意参与者那里获取桶中的内容。竞争对手可能有兴趣了解更多有关暴露企业的信息,以获得竞争优势。
竞争对手可以通过观看泄露的视频、听录音和阅读会议记录来发现公司的敏感数据。重点视频可以让窥探者即时获得最有价值的公司信息和见解片段。
许多客户企业的员工也暴露了自己的姓名和形象。竞争对手可以利用这些详细信息,以及代表了解到的竞争对手信息,通过电话或电子邮件钓鱼以获取更敏感的公司数据。例如,来自竞争对手企业的人可能会在冒充员工、引用同事姓名以建立信任,以及就会议讨论的话题发起对话以挖掘更敏感的信息或行业机密时给暴露的企业打电话。
根据可用信息的具体情况,竞争对手可以通过多种方式利用bucket的内容来破坏暴露的用户或获得优势。例如,竞争对手的企业可能会削弱与客户讨论交易的曝光企业,或者他们可以窃取桶中发现的秘密,并在自己的企业内实施相应的变更。
对Civicom的影响
Civicom Inc.可能会受到法律影响,而该公司可能会因为该数据泄露而面临更广泛的影响
数据隐私侵犯
Civicom已经暴露了无数企业的敏感信息,以及客户企业的众多员工的姓名和图像。作为一家主要为美国客户服务的美国企业,Civicom可能会受到联邦贸易委员会(FTC)的审查。
联邦贸易委员会保护美国公民和企业的敏感和非公开数据。《联邦贸易委员会法》管辖影响商业的不公平或欺骗性商业行为或做法。根据《联邦贸易委员会法》第5条,任何违法行为的最高处罚为罚款1亿美元,严重案件中的犯罪方将被监禁。
业务损失
Civicom在数据曝光后可能会经历短期业务损失。一些客户可能会出于对公司数据的担忧而选择离开Civicom,转而使用其他服务。潜在客户可能最终也会因为这个原因选择另一家供应商。
竞争间谍
其他会议和电信提供商可以访问Civicom bucket的内容,以了解Civicom的客户。竞争对手可能会通过报价联系暴露在外的客户,试图从Civicom窃取业务。数据泄露状态我们于2021 10月28日发现了AWS S3 bucket。2021 10月30日,我们向Civicom发送了一条关于compa的消息