Informe: El servicio de conferencias expone las conferencias a clientes privados
¿Quién es responsable de la filtración de datos en este artículo? Impacto en los usuarios finales (si es B2B) Impacto de la filtración de datos en los ciudadanos Cómo proteger sus datos y por qué denunciamos las vulneraciones de datos ¿Qué es Website Planet?
Nombre de la empresa y ubicación: Civicom Inc., ubicada en Estados Unidos
Tamaño (GB y número de registros): más de 100.000 archivos, más de 8 TB
Formato de almacenamiento de datos: AWSS3Bucket
Países afectados: EE. UU.
El equipo de seguridad del sitio web Planet descubrió una vulnerabilidad de datos que afectaba al servicio de conferencias B2B Civicom Inc.
. La empresa estadounidense, especializada en videoconferencias en línea, dejó los depósitos de Amazon S3 abiertos y accesibles sin los procedimientos adecuados de autenticación de usuarios. Como resultado, el depósito de Civico expuso más de 100.000 archivos de vídeo y audio pertenecientes a sus clientes.
Estos documentos utilizan la plataforma Civico para registrar ampliamente reuniones entre empleados de empresas clientes. La infracción de Civicom podría dañar a muchas empresas cuyos datos confidenciales se encuentran en el contenido del depósito. Datos del cliente expuestos
En total, el depósito AWS S3 mal configurado de Civicom Inc. expuso más de 100 000 archivos, lo que equivale a más de 8 TB de datos. Estos datos pertenecen a las empresas clientes de Civicom.
Identificamos cuatro conjuntos de datos independientes clasificados según las extensiones de archivos en Civicombucket. Estos conjuntos de datos expusieron el contenido de las reuniones de los clientes:
Videos de reuniones Destacados recortados Transcripciones de audio Transcripciones de audio Miles de horas de transcripciones de video y audio, así como cientos de registros escritos, expusieron las conversaciones privadas de los clientes de Civico.
Durante estas conversaciones, muchas empresas pueden haber discutido:
Datos confidenciales de la empresa (incluidas posibles llamadas de investigación de mercado y secretos comerciales);
Cabe mencionar que muchas empresas clientes tienen empleados cuya información está expuesta en el cubo.
La PII de los empleados de los clientes de Civicom incluye:
Nombre completo e imágenes del rostro y el cuerpo del empleado.
El depósito estaba en línea y se estaba actualizando en el momento del descubrimiento y ha estado en línea desde febrero de 2018. Amazon no es responsable de la gestión de Civicombucket y esta violación de datos no es culpa de Amazon.
El vídeo de la reunión se grabó y se subió al depósito de Civic. Muchos videos de conferencias duran entre una y dos horas, pero algunos son más cortos o más largos que este período de tiempo. Además, se capturaron una gran cantidad de videos utilizando una cámara de 360°.
Los momentos destacados recortados son otra forma de vídeo expuesto en el servidor. Estos videos muestran la información más importante discutida en la reunión. Puede ver capturas de pantalla de cada tipo de video a continuación.
También hay grabaciones de reuniones en el depósito. Las grabaciones son la colección más grande de archivos en el depósito, pero no pudimos confirmar si estos archivos grabaron reuniones en el mismo formato que los videos.
La mayoría de las transcripciones de audio almacenadas en los depósitos de CivicomS3 son creadas por AmazonTranscribe, un servicio de AWS que convierte automáticamente audio en texto. Algunas transcripciones también se crean utilizando el servicio ciudadano TranscriptWing. Las actas están en pequeñas cantidades y se han añadido recientemente al cubo. Cada registro se cargó dentro de los dos meses posteriores a nuestro descubrimiento del cubo Civic.
Si bien podemos ver evidencia de tecnologías complementarias utilizadas por los clientes de Civico, como AWS Transcription, estas tecnologías no fueron responsables de la filtración de datos de Civico.
Por razones obvias, no podemos compartir capturas de pantalla de la grabación. Sin embargo, puedes ver evidencia de la transcripción en la imagen a continuación.
Es difícil estimar el número exacto de empresas afectadas sin examinar las decenas de miles de horas de contenido almacenado en los servidores. Por razones éticas, no analizamos todos los archivos del depósito. Como resultado, puede haber muchas empresas que discutan datos confidenciales de la empresa, secretos comerciales y propiedad intelectual.
Las empresas expuestas podrían enfrentar consecuencias devastadoras y, como resultado, Civico podría estar sujeto a escrutinio legal. Quién se ve afectado
Civicom Inc. es una empresa B2B, por lo que las empresas se ven afectadas por esta exposición de datos, no los consumidores. Algunos empleados de empresas clientes que utilizan la plataforma Civico también fueron nombrados y fotografiados en el contenido del servidor, lo que podría afectar nuevamente a las empresas expuestas.
Los usuarios del software "GlideCentral" de Civicom son los principales clientes afectados. Lo sabemos porque el contenido del servidor se ajusta a las capacidades del software de gestión de audio y vídeo, como la función Clip Key.
Civicom tiene clientes en casi todas las industrias imaginables, aunque muchas de las cosas que encuestamos mencionaron temas legales y de salud. Otras sesiones cubren una variedad de diferentes temas comerciales.
Sospechamos que algunos ciudadanos estadounidenses pueden haber estado expuestos en el servidor como resultado de su participación en grupos focales, encuestas y otras reuniones donde las empresas interactúan con el público. Sin embargo, no pudimos confirmar esta hipótesis. Quién es responsable de la infracción
Civicom Inc. se fundó en 2000 como una empresa de tecnología de "otras telecomunicaciones" especializada en videoconferencias B2B. Aunque Civico ofrece una gama de servicios, incluida una plataforma de conferencias, colaboración y seminarios web, complementados con servicios de investigación de mercados y asistencia administrativa, e incluso una aplicación móvil de viajes.
Los servicios populares incluyen reuniones de Civicon, llamadas de eventos de Civicon, servicios de investigación de mercados de Civicon y servicios de transcripción.
Civicom ha adquirido varias otras empresas en los últimos 20 años. En 2012, Civilcom se fusionó con el proveedor de tecnología de seminarios web ConferTel. La fusión introduce a Civico en el mercado de seminarios web gestionados profesionalmente y con servicio completo.
Civicom Inc. emplea a más de 200 personas en ocho ubicaciones. La empresa tiene su sede en la ciudad de Nueva York y oficinas adicionales en todo Estados Unidos, incluidas Lakemont, Nueva York, y Denver, Colorado. Civicom tiene oficinas en todo el mundo, incluida una oficina en Londres, Inglaterra; Sucursal del Pacífico de Filipinas con oficinas en Manila y Cebú.
Algunas de las empresas y servicios hermanos de Civicom también tienen su sede en Greenwich, Connecticut, EE. UU.
Impacto para los usuarios finales (si B2B)
No podemos saber, ni sabemos, si un actor malintencionado obtuvo acceso al contenido del depósito Civic Open AWSS3. Sin embargo, es posible que los malos actores hayan llegado al barril de Civico.
En este caso, los delincuentes y competidores pueden poseer grandes cantidades de datos corporativos confidenciales, secretos industriales y propiedad intelectual. Los contenidos del servidor indican que el espionaje comercial y el sabotaje son los principales factores de riesgo para los clientes expuestos de Civico. Espionaje y sabotaje comercial
El contenido del cubo puede causar verdaderos problemas a las empresas. Las empresas competidoras pueden obtener el contenido del depósito de piratas informáticos o actores maliciosos. Los competidores pueden estar interesados en aprender más sobre el negocio expuesto para obtener una ventaja competitiva.
Los competidores pueden descubrir los datos confidenciales de una empresa viendo vídeos filtrados, escuchando grabaciones y leyendo actas de reuniones. Los videos destacados brindan a los fisgones acceso instantáneo a los fragmentos más valiosos de información y conocimientos de la empresa.
Muchos empleados de empresas clientes también vieron expuestos sus nombres e imágenes. Los competidores pueden utilizar estos detalles, junto con lo que los representantes aprenden sobre los competidores, para realizar phishing y obtener datos más confidenciales de la empresa a través de llamadas telefónicas o correos electrónicos.
Por ejemplo, alguien de una empresa rival puede llamar a una empresa expuesta haciéndose pasar por un empleado, citando a colegas por su nombre para generar confianza e iniciando conversaciones sobre temas discutidos en reuniones para descubrir información más confidencial o secretos de la industria.
Dependiendo de los detalles de la información disponible, hay varias formas en que un competidor podría explotar el contenido de un depósito para perturbar a los usuarios expuestos u obtener una ventaja. Por ejemplo, una empresa rival podría socavar una empresa expuesta que discutió acuerdos con clientes, o podría robar los secretos descubiertos en el cubo e implementar los cambios correspondientes dentro de su propia empresa. Implicaciones para Civicom
Civicom Inc. puede estar sujeto a repercusiones legales, mientras que la empresa puede enfrentar repercusiones más amplias por la violación. Violaciones de privacidad de datos
Civicom también ha expuesto información confidencial de innumerables empresas. así como los nombres e imágenes de numerosos empleados de la empresa del cliente. Como empresa con sede en EE. UU. que atiende principalmente a clientes estadounidenses, Civicom puede estar sujeta al escrutinio de la Comisión Federal de Comercio (FTC).
La Comisión Federal de Comercio protege los datos confidenciales y no públicos de ciudadanos y empresas estadounidenses. La Ley de la Comisión Federal de Comercio rige los actos o prácticas comerciales desleales o engañosos que afectan el comercio. Según la Sección 5 de la Ley de la FTC, la pena máxima por cualquier infracción es una multa de 100 millones de dólares, y las partes infractoras en casos graves están sujetas a pena de prisión. Pérdida de negocio
Civicom puede experimentar una pérdida de negocio a corto plazo tras la exposición de los datos. Algunos clientes pueden optar por abandonar Civico y utilizar otros servicios debido a preocupaciones sobre los datos de la empresa. Los clientes potenciales también pueden terminar eligiendo otro proveedor por este motivo. Espía competitivo
Otros proveedores de conferencias y telecomunicaciones pueden acceder al contenido de Civicombucket para conocer a los clientes de Civicom. Los competidores pueden ponerse en contacto con clientes expuestos con ofertas en un intento de robarle negocios a Civico. Estado de la violación de datos Descubrimos el depósito AWSS3 el 28 de octubre de 2021. El 30 de octubre de 2021 enviamos un mensaje a Civicom sobre compa