Säkerhetsforskare har upptäckt en enorm databas, exponerad online, som innehåller tiotals miljoner SMS-meddelanden som skickats av företag till potentiella kunder. Databasen hanteras av en företags-SMS-leverantör som heter TrueDialog som tillåter organisationer och universitet att skicka massmeddelanden till sina kunder och studenter. Tjänsten erbjuder dock även mottagare av dessa meddelanden möjligheten att skicka meddelanden så att de kan chatta fram och tillbaka med dessa företag. TrueDialog-databasen innehöll flera år av SMS-meddelanden som skickats och tagits emot av sina kunder. Eftersom databasen lämnades osäkrad online utan lösenord kunde vem som helst se dessa okrypterade meddelanden. Den första upptäckten av den exponerade databasen gjordes av Noam Rotem och Ran Locar från vpnMentors forskningsteam.
Databasinnehåll.
Efter att ha granskat några av de exponerade uppgifterna upptäckte TechCrunch att uppgifterna innehöll detaljerade register över meddelanden som skickats av TrueDialog-kunder, inklusive deras telefonnummer och innehållet i deras meddelanden. Databasen innehöll företagsmarknadsföringsmeddelanden, jobbvarningar och andra erbjudanden som skickades till kunder, men också lagrade känsliga textmeddelanden, såsom autentiseringskoder, samtidigt. Två faktorer och säkerhetsmeddelanden. Genom att använda informationen i dessa meddelanden kunde vem som helst ha försökt komma åt användarnas onlinekonton. Uppgifterna innehöll även användarnamn och lösenord för TrueDialogs egna kunder, som också kunde ha använts för att komma åt och imitera deras konton. En annan överraskande upptäckt var att några av de tvåvägsmeddelandekonversationerna innehöll en unik konversationskod. Med den här koden kunde vem som helst ha läst hela trådar av konversationer mellan företag och deras kunder. Detta är bara det senaste fallet av en databas som inte är säkrad online, men det visar också att SMS-textmeddelanden inte ger ett säkert sätt att skicka känslig data som tvåfaktorsautentiseringskoder. Via TechCrunch