去年11月，一家名為Voxox的電信企業不慎洩露了一個包含數百萬條短信的數據庫，其中包括了密碼重置和雙因素認證代碼。在安全研究人員曝光之前，其安全漏洞已向攻擊者敞開數月。由於服務器未受保護，本次事件導致數百萬份呼叫日誌和文本消息被洩露。令人驚恐的是，時隔兩月，另一家名叫Voipo通信提供商，又洩露了價值數十億美元的客戶數據。

Voipo 是一家總部位於加利福尼亞州Lake Forest 的互聯網語音服務提供商，提供面向住宅和商用的電話服務，並且支持雲端控制。

上週，安全研究員Justin Paine找到了暴露的，並與該公司的首席技術官取得了聯繫。然而在Paine通報之前，Voipo的數據庫就已經脫機了。

據悉，該公司的後端路由，可用於為其用戶調度和處理文本消息。

但由於其中一個後端的ElasticSearch 數據庫未受到密碼保護，因此任何人都可以查詢雙向發送的實時呼叫日誌和文本消息流。

作為2019 年最大規模的數據洩露事件之一，迄今已有700 萬通話和600 萬短信紀錄、以及其它包含未加密密碼的內部文檔被洩露。

若被攻擊者拿到這些憑證，將使之獲得對企業系統的深度訪問權限。外媒在審查了部分數據後發現，某些日誌中的網址，竟直接指向客戶的登錄頁面。

Paine在博客文章中指出，數據庫自2018年6月開始被曝光，並包含了可追溯至2015年5月的電話和短信日誌。

每天更新的日誌，已經更新到1 月8 號—— 數據庫於當日正式脫機，但許多文件包含了非常詳細的呼叫紀錄、呼叫方、日期、時間等機密信息。

儘管呼叫日誌中的一些號碼被打碼，但短信日誌裡的收件人和發件人信息（以及郵件正文），都是完全裸露的。

與去年的Voxox 漏洞類似，任何截獲的包含雙因素代碼或密碼重置鏈接的短信，都使得攻擊者有機會繞過用戶賬戶的雙因素認證。

更糟糕的是，日誌還包含了允許Voipo 訪問E911 服務提供商的憑證—— 這項服務允許急救服務方根據用戶預先設置的位置等信息來採取行動。

糟糕的是，Paine 表示，E911 服務或已被禁用，可能導致這些客戶無法在緊急情況下獲得救助。

在一封電子郵件中，Voipo首席執行官Timothy Dick證實了本次數據洩露，但補充道：“這只是一台服務器，並不是我們生產網絡的一部分”。

Dick 聲稱該公司將所有系統都放在了防火牆之後，因此可以阻絕外部連接。然而該公司並沒有遵從該州的規定、及時地向當局通報此事。