Британская компания WizCase, специализирующаяся на кибербезопастности, заявила, что обнаружила брешь в базе данных службы отслеживания телефонных звонков Ringostat. По их данным, эта брешь сделала уязвимыми номера телефонов, аудиозаписей голосовых звонков и журналов звонков пользователей, в основном, Украины и России.
Об говорится в блоге компании WizCase, пишет Delo.
Автор Чейз Вильямс утверждает, что брешь сделала доступной около 8 миллионов голосовых записей, примерно 13 миллионов телефонных номеров, сотни миллионов журналов вызовов. Также хакеры якобы получили метаданные, которые включают информацию об исходящих и входящих звонках, времени, IP-адресе получателя звонка, GSM-компании и продолжительности вызова.
В свою очередь представители компании Ringostat утверждают, что уязвимость просуществовала крайне малый срок и была закрыта текущем обновлением системы.
"Уязвимости бывают часто после обновления программного обеспечения (не нашего сервиса, а, сторонних программ) и от них ни одна компания не застрахована. Ключевое то, как оперативно компании эти уязвимости устраняют. Тут мы отработали быстро — белый хакер это сам подтвердил (вот что он написал: a few moments after our disclosure the server was secured). Скорее всего, автоматически сработала наша система защиты, что подтверждает, что наша техническая команда очень четко и быстро фиксит такие вопросы ", — рассказал Delo.ua CEO Ringostat Александр Рубан.
Он настаивает, что никаких утечек не произошло и что за то краткое время, пока обновлялась система, выкачать данные с сервера компании было физически новозможно.
"Как только мы узнали о статье, мы сразу начали проводить внеочередной аудит безопасности. Сейчас я могу уверенно утверждать, что утечки данных не было", — сказал Рубан.
СЕО Ringostat указал, что WizCase некорректно первоначально сформулировали свой текст. И что на данный момент они внесли изменения в свою публикацию.
В частности, были изменены формулировки с "утечки" на "брешь" и добавлено утверждение: "Оказалось, что некоторые медиа неправильно поняли наше сообщение. Проясняем: мы не утверждали, что обнаруженные нами данные были украдены. Мы обнаружили открытый, незащищенный и незашифрованный сервер ElasticSearch, принадлежащий компании Ringostat. Наша команда не может утверждать, были ли данные украдены, пока они были открыты".
