在这篇文章中,Robocalls是我们发现法律跟不上技术发展速度的一种不受欢迎的做法。1曝光让我们看到了有争议的自动拨号业务的幕后情况。
1481280在24小时内拨打的电话,包括日志,暴露传出呼叫数据,和来电号码
有关如何拨打电话和来电者ID号码的详细信息
数据库每5分钟更新一次,包括实时通话记录和内部设置,如IP和VOIP配置设置S3呼叫是代表包括收债人、医疗保险、投资等在内的多家公司向美国多个州的接收器发出的。
2020年10月14日,WebsitePlanet研究团队与安全研究员Jeremiah Fowler合作发现了一个不受密码保护的数据库,其中包含大量电话通话记录和VOIP相关数据。该数据集被公开的时间略多于24小时,并随着每小时数千个电话的拨打而实时增长。从我找到数据库到它被保护起来的这段时间里,它在一天多的时间里记录了148万个机器人呼叫。几乎所有的电话都是传出的,但当有人回拨来电者ID上显示的号码时,系统也会进行记录。数据库和记录属于位于内华达州里诺的一家名为200 Networks,LLC的公司。我们立即就我们的发现发送了一份负责任的披露通知,不久之后,200个网络限制了公众访问。
机器人电话,一种不受欢迎的做法
生活中很少有事情像机器人电话那样让人生气。根据最近的一份报告,2019年美国人接到的电话估计为580亿,比2018年的478亿增加了22%。联邦通信委员会(FCC)表示,他们在2018年收到的所有投诉中,有60%是由机器人电话引起的。
这些电话中最糟糕的部分是,它们可以来自世界上任何地方,使用一种叫做VOIP的东西。呼叫者经常使用一种叫做“欺骗”的方法,使呼叫者ID号码看起来像是本地号码。当一个人接到一个电话,看到一个本地号码时,他们通常会以为是认识的人或一个重要的电话接听,结果发现是收债人或销售电话。
如果您曾经收到过robocall,您已经知道,通常当您回拨该号码时,该号码要么已断开连接,要么正在被一个不知道自己的号码被自动拨号器使用的人使用。这些电话可以如此匿名,这一事实让机器人电话变得如此神秘,同时也让人不喜欢。大多数情况下,几乎不可能追踪一个伪造的电话,并找出电话的来源。当然,执法部门和电话供应商可以使用一些工具来尝试找出这些电话的来源,但这是一场猫捉老鼠的游戏,技术和通话方法在不断变化。自动拨号技术使得发起大规模的robocall活动变得非常便宜和容易,而且这些公司通常会在这个过程中隐藏来电者的身份。这就是为什么我的最新发现如此有趣。
我们的研究结果
在试图确定数据集的所有者时,我看到了对连接到用于呼叫的多个IP地址的Intelligent的多个引用。网上发布了许多关于智能手机和垃圾邮件电话的消费者投诉。我下一个合乎逻辑的步骤是向Intelligent咨询我的发现。他们非常有帮助,为我指明了如何识别数据集所有者的正确方向。需要注意的是,Intelligent不是电话营销员,不提供或使用电话营销服务。Intelligent向其他电信运营商、服务提供商和转售商提供批发电信服务,包括电话号码,这些运营商使用这些服务提供自己的批发或零售电信服务。我假设200个网络,服务器的实际所有者,正在使用他们的技术,这些投诉可能来自错误识别电话真正来源的个人。
这一发现是对行业内部的一次仔细观察,准确地展示了电话是如何拨打、管理和记录的。这次数据泄露公开了进程的内部工作,包括中继和SIP配置、号码、呼叫者ID记录等等。这些电话被记录为入站或出站,并有详细记录,包括此人是否接听或挂断电话、他们在电话上的时间,以及他们是否使用tier系统转发。会话启动协议(SIP)协议支持VOIP呼叫。更大的问题是,SIP不安全,很容易被黑客攻击,因为它是一种类似于HTML的基于文本的协议,在这个过程中可能会暴露有关呼叫者设备的信息以及有关如何拨打电话的其他细节。
一个非常有趣的发现是,当我发现数据集时,我做的第一件事就是搜索我自己的号码,结果是零。一小时后,在拨打多个号码并使用*67功能屏蔽我自己的号码后,我的电话号码出现了。在北美,电话供应商允许使用*67服务代码来阻止手机号码的显示,并为您提供隐藏电话号码的隐私,以便拨打电话。然而,我看到我的电话和真实的电话号码都被记录下来了。这是一个唤醒任何人谁认为,*67来电显示阻止保护您的隐私不显示您的电话号码时,你回可疑号码。
数据库包含的内容:
该数据库不受密码保护,在任何浏览器中都是开放的和可见的(可公开访问),任何有恶意的人都可以在没有管理凭据的情况下编辑、下载甚至删除数据。(作为一名安全研究员,我从不绕过或绕过受密码保护的资产)。
1481280可访问的记录总数继续增长,直到访问受到限制。每5分钟更新一次日志。
显示包含内部信息、SIP、来电显示、呼叫路径IP和端口的记录。
IP地址形式的呼叫者ID(欺骗或屏蔽)号码,然后是收件人的电话号码和“目的地号码”。需要注意的是,呼出电话号码都回到了我假设的200个Networks的客户或语音信箱系统。我能够验证大量电话号码样本,并返回到债务催收服务、健康福利顾问(保险销售)和其他多个神秘服务,这些服务只告诉我将个人信息留给代理人进行回访。
数据库面临勒索软件的风险,并且有证据表明发生了自动喵喵机器人攻击。创建中间件并生成可能为恶意软件提供辅助路径的信息。(中间件是将操作系统和应用程序连接在一起的软件;它通常被称为“软件胶水”。如果中间件中存在漏洞或漏洞,它可能是进入网络的后门)。
IP地址、端口、路径和存储信息等技术记录,网络犯罪分子可以利用这些记录深入网络。
这样的数据暴露的潜在风险包括可能会进行所谓的“泄露”。这是一个非常古老的术语,用来描述入侵传统电话服务以拨打免费长途电话。现代的phreaking将涉及在他们不知道的情况下完全访问VOIP服务提供商的网络。网络犯罪分子不仅可以“免费”访问呼叫网络,他们还试图截获来自呼叫的信息,如账单或支付信息、敏感商业数据、医疗或其他个人信息、语音邮件等等。
我们并不是说有200个网络经历过这种情况,或者是说话的受害者。我们只是在确定现代电话技术在今天和未来所面临的潜在安全问题。VOIP呼叫通常使用唯一的IP地址,SIP信息很少加密,这是一个非常真实的威胁。
法律跟不上技术的发展速度
目前尚不清楚他们拨打的这些号码中是否有任何一个在“不打电话”登记簿上。FCC允许公民检查您的号码是否在“请勿拨打”注册表中,但您必须从您想要验证的号码拨打电话,因此我无法验证这些号码是否违反规定。机器人通话和欺骗已经成为一个问题,美国国会在2009年通过了《来电显示真相法案》,FCC规则禁止任何人传输误导性或不准确的来电显示信息,意图欺诈、造成伤害或错误获取任何有价物,每违反一项规定,最高可处以1万美元的罚款。2019年12月31日,国会以压倒性多数通过了一项反机器人化法案,并由总统签署。
尽管机器人电话很烦人,但只要他们遵守法律,打大量电话并不违法。我并不是在暗示200个网络或其客户有任何不当行为,我只是强调了我的发现,同时提高了人们对该行业如何利用技术每天拨打数百万个电话的认识。200网络允许他们的用户使用一系列功能拨打机器人电话或自动拨号电话,包括定制的语音记录、菜单选择和路由选项,这些功能将转发到应答机或实时代理。
应该注意的是,我回拨的出站号码是一个IP呼叫,似乎是用实数作为“别名”屏蔽或欺骗的。这意味着,如果你回拨这个号码,你会联系到一个代理或语音信箱,我猜这是200个网络的客户。这些号码也通过地理位置或前缀指定为被调用的号码。例如,如果