דליפה בטיים וורנר: נחשפו פרטי יותר מארבעה מיליון לקוחות

יותר מארבעה מיליון רשומות של משתמשי אפליקציית MyTWC של חברת הכבלים טיים וורנר (Time Warner Cable), שנמצאים בשרת של אמזון (Amazon), דלפו בחודש שעבר – כך עולה מפוסט שפרסמה חברת האבטחה קרומטק (Kromtech Security Center) בסוף השבוע.

הקבצים – בנפח של יותר מ-600 ג'יגה-בייט – מכילים מידע רגיש אודות הלקוחות, הכולל, בין השאר, מזהה עסקאות פיננסיות, שמות משתמשים, מספרים סידוריים ומספרי חשבון בנק. מסתמן כי מספרי ביטוח לאומי (תעודות הזהות של האמריקנים) וכרטיסי אשראי של המשתמשים לא נחשפו.

חוקרי קרומטק גילו את המידע חשוף וללא סיסמאות ב-24 באוגוסט, בזמן שאלה היו שקועים בכלל בחקירת הפרת נתונים לא קשורה ב-WWE (ר"ת World Wrestling Entertainment), שפועלת בשיתוף עם ספקיות שירות, כולל AT&T וטיים וורנר.

השרתים הכילו גם שורה ארוכה של רשומות חברה פנימיות, כולל מיילים פנימיים וקוד המכיל את האישורים למספר לא ידוע של מערכות חיצוניות.

"ספקית דיווחה לנו כי מידע לא פיננסי מסוים של לקוחות טיים וורנר בכבלים, שהשתמשו באפליקציית MyTWC, הפך להיות גלוי לגורמים חיצוניים", כתבה Charter Communications – החברה האם של טיים וורנר, שרכשה את החברה לפני כשנה. היא ניסתה להרגיע את המשתמשים כשציינה שהמידע הוסר מיד לאחר הגילוי ושהאירוע נחקר.

בהודעה ששחררה Charter Communications לתקשורת נכתב כי "הגנה על פרטיות הלקוחות היא בעלת חשיבות עליונה עבורנו. אנחנו מתנצלים על התסכול והחרדה שנגרמו, וניצור קשר ישירות עם לקוחות אם המידע שלהם היה מעורב באירוע זה".

יותר ויותר דוגמאות לשימוש לרעה בדליפות נתונים

"אנחנו רואים יותר ויותר דוגמאות לאופן שבו הרעים משתמשים בנתונים שדלפו או שנפרצו עבור מגוון פשעים או למטרות לא אתיות אחרות", אמר בוב דיאצ'נקו, מנהל התקשורת הראשי של קרומטק. "במקרה זה מהנדסים הביאו בטעות לדליפתם לא רק של נתוני לקוחות ושותפים, אלא גם של אישורים פנימיים שפושעים יכלו בקלות להשתמש בהם בכדי לפקח או לגשת לרשת ולתשתית של החברה".

הדליפה נקשרה בסופו של דבר לחברת התקשורת ההודית ברודסופט (BroadSoft), שיחידה שלה היא שפיתחה את היישום MyTWC. פרסום פרטי הדליפה עוכב כדי לאפשר לברודסופט לעדכן לקוחות בדבר האירוע.

דובר ברודסטופט אמר כי החברה אישרה שנתוני הלקוחות נחשפו לאינטרנט, אך היא אינה סבורה שהמידע היה "רגיש מאוד". החברה גם לא מאמינה כי הייתה למידע גישה ממקור זדוני. "אבטחנו מיד את החשיפות ואנחנו ממשיכים לחקור באופן אגרסיבי את החשיפות הללו וננקוט פעולות מתקנות נוספות בהתאם לצורך".