事件概述
2026年6月10日暗网论坛近期披露了一份来自荷兰电信服务提供商Voyager Telecom的重大数据泄露事件。泄露数据总容量约462MB,主要包含该公司VoIP通信平台、RADIUS认证系统、JIRA项目管理系统以及Web门户等相关应用和基础设施日志。
泄露内容包括:
-
内部用户账户信息、电子邮箱、电话分机(Presence ID)及VoIP配置数据; -
部分凭证信息和会话参数(日志中出现用户名及密码); -
揭示内部服务器、Docker容器、SaltStack等基础设施信息的运维日志; -
涉及 Christ’s College、Canopy Camping 等客户机构员工及用户的个人身份信息(PII); -
显示攻击者已进行侦察活动并可能成功入侵的相关痕迹。
事件详情
时间线分析
泄露日志绝大多数集中于:
2024年8月27日至28日(NZST)
这极有可能对应:
-
实际入侵时间窗口; -
攻击者的数据收集阶段; -
或数据外传(Exfiltration)时间点。
目前未发现勒索软件声明、赎金说明或已知APT组织标识,因此暂无法归因至特定攻击团伙。
然而从泄露规模和数据深度来看,此次事件更符合针对性网络入侵,而非简单的数据公开暴露。
关键发现
一、VoIP/Kazoo通信平台数据暴露(高危)
泄露日志中包含大量Kazoo软电话及注册服务接口调用记录,例如:
-
GetAccountConfiguration -
GetGlobalConfiguration -
GetSoftphoneDetails
暴露内容
用户信息
例如:
电话分机
例如:
-
8888 -
2003 -
8800
SIP认证信息
用户名:
-
user_BeTYS9 -
user_kwdC58funZ
密码:
-
J93giBLXbR85 -
wQC5M5GEzNzE
其他敏感数据
-
语音信箱及未读消息数量 -
通话录音URL -
Caller ID配置 -
设备Token -
软电话配置参数
二、认证与会话数据泄露
日志中发现大量认证活动记录:
包括
-
API Key认证日志 -
登录成功与失败记录 -
Session信息 -
Correlation ID
高风险发现
部分调试日志直接记录了:
cloud_username
cloud_password
相关参数被写入stdout及调试日志。
这违反了基本安全开发规范(Secure Logging Practice)。
三、基础设施与运维环境暴露
日志中泄露大量内部环境信息。
服务器信息
发现如下主机名称:
fe02-qst
be01-qst
web01
cpp
Docker环境
例如:
8ec4e0dc626a
SaltStack节点
发现多个:
salt-minion
异常记录。
补丁管理问题
日志显示:
-
glibc更新后未及时重启 -
Kernel升级后仍持续运行旧内核
说明存在补丁管理缺陷。
JIRA系统
频繁出现:
JIRA API CALLED
记录。
RADIUS认证系统
发现:
Fetching online Radius Users
等用户枚举操作。
Web扫描痕迹
访问日志显示大量针对:
-
WordPress插件 -
Themes目录 -
Uploads目录
的扫描行为。
这与自动化漏洞利用活动高度一致。
四、客户及个人身份信息(PII)泄露
泄露数据涉及多个客户机构。
已发现机构
Christ’s College
教育机构
Canopy Camping
商业旅游企业
泄露信息包括
-
姓名 -
邮箱地址 -
Presence状态 -
电话分机 -
组织结构信息
结论
Voyager Telecom数据泄露事件是一起典型的“日志即情报(Logs as Intelligence)”案例。由于生产环境存在严重日志管理缺陷,大量本应受到严格保护的认证信息、VoIP配置、内部架构及个人身份信息被完整记录并最终遭到泄露。
对于攻击者而言,这份462MB日志数据不仅是简单的数据泄露,更是一份完整的攻击情报包(Attack Intelligence Package),可被用于后续的账户接管、VoIP欺诈、社会工程学攻击以及进一步网络渗透。
暂无评论内容