Laporan: Penyedia Pusat Panggilan Mengekspos Database Panggilan Robot

JASA SEO SURABAYA

Eksposur Memberikan Pandangan di Balik Layar dari Bisnis Kontroversial Autodialing.

  • 1.481.280 panggilan dilakukan dalam 24 jam termasuk log, memperlihatkan data panggilan keluar, dan nomor telepon masuk
  • Rincian tentang cara membuat panggilan dan nomor ID pemanggil
  • Basis data diperbarui setiap 5 menit dengan log panggilan waktu nyata dan pengaturan internal seperti pengaturan konfigurasi IP dan VOIP
  • Panggilan dilakukan ke penerima yang berbasis di AS di beberapa negara bagian atas nama berbagai perusahaan termasuk penagih utang, asuransi kesehatan, investasi, dan banyak lagi.

Pada 14 Oktober 2020, tim peneliti WebsitePlanet bekerja sama dengan Peneliti Keamanan Jeremiah Fowler menemukan database yang tidak dilindungi kata sandi yang berisi sejumlah besar catatan panggilan telepon dan data terkait VOIP. Dataset diekspos selama lebih dari 24 jam dan berkembang secara real time dengan ribuan panggilan dilakukan per jam. Sejak saya menemukan database hingga diamankan, tercatat 1,48 juta robocall hanya dalam satu hari. Hampir semua panggilan keluar, tetapi sistem juga mencatat ketika seseorang menelepon kembali nomor yang muncul di ID penelepon mereka. Basis data dan catatan milik perusahaan bernama 200 Networks, LLC yang berbasis di Reno, Nevada. Kami segera mengirimkan pemberitahuan pengungkapan yang bertanggung jawab atas temuan kami dan 200 Networks membatasi akses publik segera setelahnya.

Robocall, praktik yang tidak disukai

Ada beberapa hal dalam hidup yang membuat orang marah seperti robocall. Menurut laporan baru-baru ini, orang Amerika menerima sekitar 58 miliar panggilan pada 2019, naik 22% dari 47,8 miliar pada 2018. Komisi Komunikasi Federal (FCC) mengatakan bahwa 60% persen dari semua keluhan yang mereka terima pada 2018 disebabkan oleh robocall.

Bagian terburuk dari banyak panggilan ini adalah bahwa mereka dapat datang dari mana saja di dunia menggunakan sesuatu yang disebut protokol suara melalui internet (VOIP). Penelepon sering menggunakan metode yang disebut “spoofing” untuk membuat nomor ID penelepon tampak seperti nomor lokal. Ketika seseorang mendapat telepon dan mereka melihat nomor lokal, mereka sering menjawabnya dengan berpikir bahwa itu adalah seseorang yang mereka kenal atau panggilan penting hanya untuk menjawab dan mengetahui bahwa itu adalah penagih utang atau panggilan penjualan.

Jika Anda pernah menerima robocall, Anda sudah tahu bahwa biasanya ketika Anda menelepon kembali nomor itu terputus atau digunakan oleh orang yang tidak tahu nomornya digunakan oleh pemanggil otomatis. Fakta bahwa panggilan ini bisa sangat anonim adalah yang membuat robocall begitu misterius dan tidak disukai pada saat bersamaan. Sebagian besar waktu hampir tidak mungkin untuk melacak panggilan telepon palsu dan mencari tahu dari mana panggilan itu berasal.

Tentu saja, penegak hukum dan penyedia telepon memiliki beberapa alat yang dapat mereka gunakan untuk mencoba dan mencari tahu dari mana panggilan ini berasal, tetapi ini adalah permainan kucing dan tikus dengan teknologi dan metode panggilan yang selalu berubah. Teknologi autodial membuatnya sangat murah dan mudah untuk meluncurkan kampanye robocall besar-besaran dan seringkali perusahaan ini akan menyembunyikan identitas penelepon dalam prosesnya. Inilah yang membuat penemuan terbaru saya sangat menarik.

Temuan kami

Saat mencoba mengidentifikasi pemilik kumpulan data, saya melihat beberapa referensi ke Inteliquent terhubung ke beberapa alamat IP yang digunakan untuk menelepon. Ada sejumlah keluhan konsumen yang diposting online tentang Inteliquent dan panggilan spam. Langkah logis saya berikutnya adalah menjangkau Inteliquent tentang penemuan saya. Mereka sangat membantu dan mengarahkan saya ke arah yang benar tentang cara mengidentifikasi pemilik kumpulan data. Perlu dicatat bahwa Inteliquent bukanlah seorang telemarketer dan tidak menyediakan atau menggunakan layanan telemarketing. Inteliquent menyediakan layanan telekomunikasi grosir, termasuk nomor telepon, ke operator telekomunikasi lain, penyedia layanan, dan pengecer yang menggunakan layanan tersebut untuk menyediakan layanan telekomunikasi grosir atau eceran mereka sendiri. Saya berasumsi 200 Networks, pemilik sebenarnya dari server, menggunakan teknologi mereka dan mungkin saja keluhan ini berasal dari individu yang salah mengidentifikasi sumber sebenarnya dari panggilan tersebut.

Penemuan ini melihat dari dekat ke dalam industri dan menunjukkan dengan tepat bagaimana panggilan dibuat, dikelola, dan dicatat. Kebocoran data ini secara terbuka mengungkap cara kerja proses termasuk konfigurasi Batang dan SIP, nomor, catatan ID penelepon, dan banyak lagi. Panggilan-panggilan ini dicatat sebagai panggilan masuk atau keluar dan ada catatan rinci tentang apakah orang tersebut menjawab telepon atau menutup telepon, berapa lama mereka berbicara di telepon, dan jika mereka diteruskan menggunakan sistem tingkat. Protokol Session Initiation Protocol (SIP) adalah yang memungkinkan panggilan VOIP. Masalah yang lebih besar adalah SIP tidak aman dan dapat dengan mudah diretas karena merupakan protokol berbasis teks yang mirip dengan HTML dan dalam prosesnya dapat mengungkapkan informasi tentang perangkat pemanggil dan detail lain tentang bagaimana panggilan dilakukan.

Satu temuan yang sangat menarik adalah ketika saya menemukan dataset, hal pertama yang saya lakukan adalah mencari nomor saya sendiri dan tidak ada hasil. Satu jam kemudian setelah menelepon beberapa nomor dan memblokir nomor saya sendiri menggunakan fitur * 67, nomor telepon saya muncul. Di Amerika Utara, penyedia telepon mengizinkan *67 kode layanan yang memblokir tampilan nomor telepon Anda dan memberi Anda privasi untuk menyembunyikan nomor telepon Anda untuk panggilan yang dibuat. Namun, saya melihat bahwa panggilan dan nomor telepon saya yang sebenarnya telah dicatat dan direkam. Ini adalah panggilan bangun untuk siapa saja yang berpikir bahwa * 67 Pemblokiran ID Penelepon melindungi privasi Anda dengan tidak menampilkan nomor telepon Anda saat Anda menelepon kembali nomor yang mencurigakan.

Apa isi database:

  • Basis data ini tidak dilindungi kata sandi, terbuka dan terlihat di browser apa pun (dapat diakses publik) dan siapa pun dengan niat buruk dapat mengedit, mengunduh, atau bahkan menghapus data tanpa kredensial administratif. (Sebagai peneliti keamanan, saya tidak pernah melewati atau menghindari aset yang dilindungi kata sandi).
  • 1.481.280 total catatan yang dapat diakses yang terus bertambah hingga akses dibatasi. Memperbarui log setiap 5 menit.
  • Catatan yang terbuka yang berisi informasi internal, SIP, Caller ID, jalur panggilan IP dan Port.
  • Nomor Caller ID (spoofed or masked) berupa alamat IP kemudian nomor telepon dan “Nomor Tujuan” penerima. Perlu dicatat bahwa semua nomor ID penelepon keluar kembali ke apa yang saya asumsikan adalah pelanggan 200 Jaringan atau sistem pesan suara
  • Saya dapat memvalidasi sejumlah besar sampel nomor telepon kembali ke layanan penagihan hutang, Penasihat Manfaat Kesehatan (penjualan asuransi), dan beberapa layanan rahasia lainnya yang hanya meminta saya untuk meninggalkan informasi pribadi saya agar agen dapat dihubungi kembali.
  • Basis data berisiko terkena ransomware dan ada bukti serangan bot Meow otomatis.
  • Middleware dan membangun informasi yang memungkinkan jalur sekunder untuk malware. (Middleware adalah perangkat lunak yang menghubungkan sistem operasi dan aplikasi bersama-sama; sering disebut “lem perangkat lunak”. Jika ada kerentanan atau eksploitasi di middleware, ini dapat menjadi pintu belakang ke jaringan).
  • Catatan teknis seperti alamat IP, Ports, Pathways, dan info penyimpanan yang dapat dieksploitasi oleh penjahat dunia maya untuk berpotensi mengakses lebih dalam ke jaringan.

Perusahaan RoboCall Memiliki Kebocoran Data

Perusahaan RoboCall Memiliki Kebocoran Data

Risiko potensial dari eksposur data seperti ini termasuk kemungkinan untuk melakukan sesuatu yang disebut “phreaking”. Ini adalah istilah yang sangat lama yang menggambarkan peretasan layanan telepon tradisional untuk membuat panggilan jarak jauh gratis. Phreaking modern akan melibatkan mendapatkan akses penuh ke jaringan penyedia layanan VOIP tanpa mereka sadari. Penjahat dunia maya tidak hanya bisa mendapatkan akses ‘gratis’ ke jaringan panggilan, mereka juga mencoba mencegat informasi dari panggilan seperti informasi penagihan atau pembayaran, data bisnis sensitif, medis atau informasi pribadi lainnya, pesan suara, dan daftarnya terus berlanjut.

Kami tidak menyiratkan bahwa 200 Jaringan telah mengalami ini atau menjadi korban Phreaking. Kami hanya mengidentifikasi masalah keamanan potensial yang dihadapi teknologi telepon modern saat ini dan di masa depan. Panggilan VOIP biasanya menggunakan alamat IP unik dan informasi SIP jarang dienkripsi sehingga hal ini menjadi ancaman yang sangat nyata.

Hukum tidak bisa mengikuti kecepatan teknologi

Tidak jelas apakah salah satu dari nomor-nomor ini yang mereka panggil ada di Do Not Call Registry. FCC mengizinkan warga untuk memeriksa apakah nomor Anda ada di Do Not Call Registry tetapi Anda harus menelepon dari nomor yang ingin Anda verifikasi, jadi saya tidak dapat memvalidasi apakah nomor-nomor ini melanggar. Robocall dan spoofing telah menjadi masalah sehingga Pada tahun 2009 Kongres AS mengesahkan Truth in Caller ID Act, peraturan FCC melarang siapa pun untuk mengirimkan informasi ID penelepon yang menyesatkan atau tidak akurat dengan maksud untuk menipu, menyebabkan kerugian, atau salah mendapatkan sesuatu yang berharga dengan penalti hingga $ 10.000 untuk setiap pelanggaran. RUU anti-robocall disahkan Kongres dan ditandatangani oleh Presiden pada 31 Desember 2019.

Meskipun robocall menjengkelkan, tidak ilegal untuk melakukan panggilan dalam jumlah besar selama mereka mematuhi hukum. Saya tidak menyiratkan kesalahan apa pun oleh 200 Jaringan atau pelanggan mereka dan hanya menyoroti penemuan saya sambil meningkatkan kesadaran tentang bagaimana industri menggunakan teknologi untuk membuat jutaan panggilan setiap hari. 200 Networks memungkinkan penggunanya melakukan robocall atau panggilan otomatis menggunakan berbagai fitur termasuk rekaman suara yang disesuaikan, pemilihan menu, dan opsi perutean yang akan diteruskan ke mesin penjawab atau ke agen langsung.

Perlu dicatat bahwa nomor keluar yang saya hubungi kembali adalah panggilan IP yang tampaknya disamarkan atau dipalsukan menggunakan nomor asli sebagai “alias”. Artinya jika Anda menelepon kembali nomor tersebut, Anda akan menghubungi agen atau pesan suara milik apa yang saya asumsikan akan menjadi pelanggan 200 Jaringan. Nomor-nomor ini juga ditetapkan oleh geolokasi atau prefiks sebagai nomor-nomor yang dipanggil. Misalnya, jika nomor Texas dipanggil, ID penelepon keluar akan berasal dari kode area Texas. Dalam pengajuan FTC tahun 2020, 200 Networks LLC mengajukan permohonan untuk “Otorisasi Sumber Daya Penomoran”. Saya hanya dapat berasumsi bahwa ini memungkinkan mereka untuk menggunakan nomor telepon yang ditetapkan secara hukum agar sesuai dengan hukum dan memiliki berbagai kode area.

Menurut situs web mereka “200 Networks adalah penyedia terkemuka teknologi suara dan pesan berbasis cloud untuk perusahaan, pusat kontak, BPO, dan agen penagihan di seluruh dunia. 200 Networks melayani berbagai perusahaan dan perusahaan Fortune 500 di berbagai industri termasuk surat kabar, koleksi, pendidikan, perawatan kesehatan, otomotif, politik, layanan pelanggan, dan pemasaran ”.

200 Networks bertindak cepat dan profesional untuk mengamankan database segera setelah pemberitahuan pengungkapan saya yang bertanggung jawab. Saya menerima balasan email yang berterima kasih atas detail penyelidikan dan pemberitahuan saya. Basis data tersebut dapat diakses secara terbuka oleh siapa saja yang memiliki koneksi internet dan tidak jelas siapa lagi yang mungkin memiliki akses ke catatan sejak saya ditemukan hingga saat data diamankan. Ini adalah pengingat lain bahwa perusahaan besar dan kecil yang mengumpulkan dan mencatat data untuk memastikan mereka mengenkripsi catatan tersebut dan mengambil pengamanan keamanan siber yang tepat.

Awalnya diterbitkan pada 25 Maret 2021

Leave a Reply

Your email address will not be published. Required fields are marked *