VoIP業者Broadvoice資料庫配置不當，200萬筆語音郵件曝光

提供各種技術研究及比較服務的Comparitech在本周揭露，他們透過Shodan.io搜尋引擎在網路上，發現一個不必輸入憑證就能存取的資料庫叢集，大約有10個Collection，涉及3.5億筆紀錄，當中含有200萬筆的語音郵件，追查之下發現該Elasticsearch叢集的所有人，為美國專門提供VoIP通訊服務的Broadvoice。

在曝光的資料庫中，資料量最大的Collection牽涉到2.75億筆紀錄，內含來電者的姓名、來電號碼、電話號碼，以及州別與城市；還有一個Collection存放了200萬筆的語音郵件紀錄，當中至少有20萬筆紀綠擁有文字檔，這些紀錄同樣具備了來電者的姓名、來電號碼、語音信箱所有人的姓名，以及內部代碼等。

Comparitech表示，許多語音郵件都含有個人或機密資訊，例如醫療程序或處方，當中甚至有一個列出全名的郵件討論的是武漢肺炎（COVID-19）的確診診斷，另有一些語音郵件涉及貸款細節。

還有一個Collection存放的是Broadvoice的用戶帳號資訊，可用來與其它Collection的內容進行交叉比對。

Comparitech是在今年的10月1日發現此一未受保護的叢集資料庫，當天也是Shodan.io索引該資料庫的第一天，而Broadvoice在收到Comparitech的通知之後，隔天就加入了憑證機制以限制存取。

Broadvoice表示，該資料庫是在9月28日不小心曝光的，但10月2日就已保全，該公司除了立即展開調查之外，也通知了執法機構，目前並無任何證據顯示相關資料曾遭到濫用。