La ditta Robocaller Stratics Networks ha esposto milioni di registrazioni di chiamat

Se hai mai visto un messaggio vocale dal nulla, c’è una buona probabilità che la rete di Stratics fosse coinvolta.

La società con sede a Toronto è l’autoproclamatosi inventore di “voicemail vocali”, fornendo ai propri clienti un modo per comporre automaticamente un elenco di numeri di telefono e far cadere i messaggi vocali senza lasciare una chiamata persa. Il sistema utilizza un numero di voicemail backdoor tipicamente riservato dal corriere per lasciare un messaggio vocale direttamente nella casella di posta di una persona. Una volta la società ha affermato che può elaborare fino a 10.000 messaggi vocali senza suono al minuto, se lo si paga.

Ma la società ha lasciato aperto il server di storage back-end senza password, esponendo migliaia di registrazioni in uscita e in uscita.

Il ricercatore di sicurezza John Wethington ha trovato il server esposto e ha chiesto a TechCrunch di contattare Stratics per proteggere i dati. Il server, ospitato su Amazon Web Services, conteneva almeno 100.000 registrazioni da oltre 4.000 cartelle, ciascuna rappresentativa di una singola campagna cliente.

Secondo i dati di BinaryEdge, il server esposto è stato rilevato per la prima volta il 5 aprile, ma potrebbe essere stato esposto più a lungo.

“Questi dati erano aperti a chiunque disponga di un browser e non richiedevano privilegi o privilegi speciali”, ha dichiarato Wethington a TechCrunch. “Spero sinceramente che siamo stati i primi a identificarlo e a rivelarlo responsabilmente perché se i dati sono in mani non etiche o criminali verrà maltrattato”.

“Le organizzazioni devono considerare l’etica della privacy e non solo i regolamenti quando offrono servizi”, ha affermato. “Il potenziale di abuso e violazione della privacy è responsabilità di tutte le società e dirigenti”.

I clienti usano l’offerta dell’azienda per lasciare i messaggi vocali senza che qualcuno debba chiamare ogni persona – dagli esattori agli uffici del medico che ricordano ai pazienti le prossime appuntamenti. La società non solo consente ai clienti di registrare i messaggi in uscita in uscita per garantire che un messaggio vocale sia effettivamente rilasciato, ma registra anche le chiamate in entrata quando qualcuno risponde.

Sono state quelle registrazioni che sono state esposte, ha detto Wethington. TechCrunch ha esaminato diverse cartelle di registrazioni.

In un caso, abbiamo scoperto che diverse contee della Florida utilizzavano Stratics per informare i cittadini che i loro voti elettorali erano scaduti. Una cartella conteneva più di 5.200 registrazioni audio sui chiamanti che rispondevano alle cadute di posta vocale inviate dalla contea di Broward e dalla contea di Hillsborough. Tra le numerose registrazioni che abbiamo ascoltato, molte hanno fornito al telefono informazioni sensibili, inclusi i loro nomi, indirizzi, date di nascita e, in alcuni casi, i loro numeri di identificazione degli elettori.

Altre cartelle nei dati esposti contenevano dozzine di registrazioni di chiamate in arrivo da coloro a cui era stato inviato un drop di voicemail. Uno di questi era uno studio legale, che i lavoratori dei call center identificavano come Key Tax Group. Tra le chiamate che abbiamo esaminato, nessuno sapeva perché fosse stato lasciato un messaggio vocale non richiesto, ma tutti gli hanno chiesto il lavoratore del call center se avevano bisogno di aiuto con le loro tasse. In nessun momento i chiamanti hanno detto che le chiamate venivano registrate, nonostante le leggi in diversi stati – come la California e il Maryland – obbligando tutti sulla stessa chiamata a concordare che la chiamata può essere registrata. Ogni registrazione aveva il numero di telefono del chiamante insospettato nel nome del file. Quando contattato da TechCrunch, molte delle vittime della truffa hanno confermato che vivevano in stati con leggi a due parti.

E un’altra società, che il lavoratore del call center ha identificato come Michigan Comfort, ha ricevuto più di un centinaio di telefonate di questo mese da persone che erano state sganciate da un messaggio vocale non richiesto. Con lo stesso schema dello studio legale, a quei chiamanti è stato chiesto se fossero interessati a “un’ispezione di condotta o uno sconto di fornace”.

“Non dovresti chiamare le persone all’improvviso e nemmeno la tua compagnia”, ha detto una vittima arrabbiata in una registrazione.

Sebbene il sito Web di Stratics affermi che “non tollera lo spam in nessuna forma”, l’azienda mette l’onere della conformità con i clienti. “Sei al 100% responsabile della conformità quando effettui chiamate originate dal tuo account”, afferma il suo sito web.

Poco dopo aver contattato l’azienda giovedì per l’esposizione dei dati, il server che perdeva era stato protetto.

“Prendiamo molto seriamente la conformità e la sicurezza dei dati, e al momento stiamo studiando per stabilire in che misura, se esiste, le informazioni siano state esposte ad accessi non autorizzati”, ha affermato Chris Collins, portavoce di Stratics. “Al momento abbiamo incaricato uno studio legale esterno di guidarci nelle nostre indagini. Stiamo inoltre coinvolgendo una società di sicurezza informatica di terze parti per eseguire un controllo di sicurezza interno completo. ”

TechCrunch ha inviato a Stratics diverse domande su spam e registrazione delle chiamate. Collins ha detto Stratics

LEGGI DI PIÙ…

Fonte immagine: %% image_source_website %% (%% image_source_url %%)

Luigi Salmone

Luigi Salmone

Leave a Reply

Your email address will not be published. Required fields are marked *