Syniverse服务提供商披露一个安全漏洞,攻击者自2016年以来就可以访问其数据库并获得了一些客户的凭据。Syniverse每年为AT&T、Verizon和其他公司传送超过1万亿条消息。
为全球绝大多数移动电话运营商发送短信的电信企业 Syniverse 披露,其系统已被攻破五年。
这家私营电信服务公司位于佛罗里达州坦帕市,估值28.5 亿美元,将于今年年底上市。该公司在近200个国家/地区拥有约1,250名客户,其中包括全球100强移动运营商中的95家,例如 AT&T、T-Mobile、Verizon、Telefonica、中国移动和 Vodafone。它还为科技巨头和主要金融机构提供服务。
9月27日,在向美国证券交易委员会 (SEC) 提交的一份文件中,该公司表示,未知个人或组织未经授权访问其网络上的数据库。安全漏洞是在所谓的第一次入侵五年后的 2021年5月才被发现的。该公司已启动内部调查,以确定安全漏洞的程度。
Syniverse表示,调查人员发现黑客于2016年5月首次访问其系统。“Syniverse 的调查显示,个人或组织多次未经授权访问其网络内的数据库,并且允许访问或从其电子数据传输的登录信息('EDT') 环境对其大约235名客户造成了损害,”该公司报告说。
“即使他们的凭据没有受到事件的影响,所有EDT客户都已收到通知,并且他们的凭据已被重置或停用,所有凭据受到影响的客户都已收到这种情况的通知。”
Syniverse 部分充当后端消息传递提供商,使不同的运营商能够桥接其不同的协议,以在其网络之间路由消息——例如,从AT&T用户到T-Mobile用户。
该公司在文件中表示:“Syniverse为全球几乎所有移动网络运营商提供服务,其解决方案帮助运营商为客户提供安全的全球连接和信息传递。”Syniverse的运营商产品组包括全球网络服务、外包运营商解决方案和消息传递解决方案。
对于消息传递解决方案,Syniverse通过它为自己和运营商维护的消息传递中心在运营商之间传递人对人的文本消息。“Syniverse每年通过这些中心处理超过1万亿条信息,”该公司在文件中说。
“间谍黄金”
该漏洞可能会产生严重的安全隐患。“流经Syniverse 系统的信息是间谍活动的黄金,”俄勒冈州参议员Ron Wyden称,他表示该行业应该面临强制性的网络安全标准。
Syniverse的一位发言人称,该公司已经实施了入侵后的安全改进措施。他说:“除了重置客户证书,我们还采取了大量额外措施,为我们的系统和客户提供更多的保护。”“如果有需要,我们将继续与客户直接沟通。”
根据美国各州的数据泄露通知要求或欧盟的《通用数据保护条例》,Syniverse 拒绝评论235名受到影响的客户是哪些、财务或其他个人信息是否暴露以及是否需要通知个人消费者。
Syniverse 拒绝回答的另一个突出的问题:这个长达五年的漏洞最终是如何被发现的?
萨里大学计算机科学客座教授艾伦伍德沃德说:“它确实持续了相当长的时间,所以我会问自己这是如何坚持下去的。” “而且,更具体地说,是什么让公司注意到这一事件?”
调查显示,目前未观察到任何意图破坏其运营或客户运营的证据,也没有试图通过未经授权的活动获利。但缺乏此类证据并不能保证此类活动尚未发生,或者在未来不会出现数据泄露或犯罪目的的行为。
暴露:元数据
Vice首先报道了美国证券交易委员会备案和其中详述的违规消息。
一名从事电子数据传输系统工作的前 Syniverse 员工以及一名电信行业内部人士共同告诉Vice,暴露的信息可能包括通话记录,包括显示消息发送者和接收者的电话号码及其位置的元数据,以及通话时长和所有短信的内容。
Syniverse 表示,它处理的文本消息元数据还包括“设备识别信息”,当然也可以用来跟踪个人。
这些元数据不仅是间谍黄金,而且为诈骗者(网络钓鱼等)提供了方便。在犯罪分子手中,可以构建更复杂的攻击。想象一下,他们有你的姓名和其他账单详细信息,可以通过模仿银行短信来进行网络犯罪,但不容易被识别出来。
“全球隐私灾难”
德国密码学和移动电话安全专家Karsten Nohl表示:“Syniverse的一个主要系统被攻破了五年,这是一场全球隐私灾难。”
“Syniverse系统可以直接访问电话通话记录和短信,也可以间接访问大量受短信双因素认证保护的互联网账户。黑客入侵Syniverse可以方便地同时访问谷歌、微软、Facebook、Twitter、亚马逊和其他各种账户。”’
泄露事件的细节包含在9月27日发给M3-Brigade Acquisition II Corp.股东的委托书中,并在提交给美国证券交易委员会(U.S. Securities and Exchange Commission)的附表14A中有详细说明。8月16日,Syniverse宣布计划与M3-Brigade Acquisition II合并,成为一家上市公司。M3-Brigade Acquisition II是一家上市公司,旨在收购公司并将其上市。
此次合并对Syniverse的估值为28.5亿美元。该交易预计将在年底前完成,届时这家上市公司将更名为Syniverse Technologies Corporation,并在纽约证交所上市,股票代码为“SYNV”。
根据协议条款,Syniverse现有的商业伙伴Twilio将成为其重要的少数股东。Twilio是一家总部位于旧金山的云通信平台即服务公司。
风险:泄露的数据
Syniverse在提交给美国证券交易委员会(SEC)的文件中警告其未来的潜在股东,在此次攻击中泄露的数据未来可能会被使用。
该公司在其文件中表示:“Syniverse已经通知了所有受影响的客户,在合同要求的情况下,这种未经授权的访问,Syniverse得出的结论是,目前不需要采取任何额外行动,包括通知客户。”
虽然Syniverse认为它已经确定并充分修复了导致上述事件的漏洞,但不能保证 Syniverse 不会从五年的违规行为中发现泄露或滥用其数据或IT系统的证据。任何此类信息的泄露出现,都可能对Syniverse 的业务、声誉、财务状况和经营业绩产生重大不利影响。
网络安全的核心问题是保护数据。随着网络安全问题日益严峻,数据泄露事件和影响愈发严重,在万物互联和数字化时代,数据的重要性不言而喻。 那么数据是如何被“偷走”的?网络犯罪分子不断进化其攻击手段,从而轻易躲过查杀工具和检测软件,利用软件安全漏洞抵达数据中心。因此仅靠传统网络安全防护手段难以抵御其对软件系统的攻击。90%以上的网络安全问题是由软件自身安全漏洞被利用导致,提高软件自身安全性已成为提高网络安全的又一有力方式。在开发软件时不断通过静态代码检测工具检测修复代码缺陷,提高软件安全是减少数据丢失的重要手段!
参读链接:
