Огромная база данных, хранящая десятки миллионов SMS текстовые сообщения, большинство из которых были отправлены предприятиями потенциальным клиентам, были найдены в Интернете.
База данных управляется TrueDialogбизнес-провайдер SMS для предприятий и поставщиков высшего образования, который позволяет компаниям, колледжам и университетам отправлять массовые текстовые сообщения своим клиентам и студентам. Компания из Остина, штат Техас, говорит, что одним из преимуществ ее услуги является то, что получатели также могут отправлять сообщения, что позволяет им вести двустороннюю беседу с брендами или предприятиями.
База данных хранит годы отправленных и полученных текстовых сообщений от своих клиентов и обрабатывается TrueDialog. Но поскольку база данных оставалась незащищенной в Интернете без пароля, ни одна из данных не была зашифрована, и любой мог заглянуть внутрь.
Исследователи безопасности Ноам Ротем и Ран Локар нашел открытая база данных ранее в этом месяце как часть их усилий по сканированию Интернета.
TechCrunch проверил часть данных, которые содержали подробные журналы сообщений, отправленных клиентами, которые использовали систему TrueDialog, включая номера телефонов и содержимое SMS-сообщений. База данных содержала информацию о финансовых приложениях университетов, маркетинговые сообщения от компаний с кодами скидок и оповещения о вакансиях, среди прочего.
Но данные также содержали конфиденциальные текстовые сообщения, такие как двухфакторные коды и другие сообщения безопасности, которые, возможно, позволили любому, кто просматривает данные, получить доступ к онлайн-счетам человека. Многие из рассмотренных нами сообщений содержали коды для доступа к онлайн-медицинским службам, а также коды сброса пароля и логина для сайтов, включая учетные записи Facebook и Google.
Данные также содержали имена пользователей и пароли клиентов TrueDialog, которые, если бы они использовались, могли использоваться для доступа к их учетным записям и выдавать себя за них.
Поскольку некоторые из двухсторонних сообщений содержали уникальный код разговора, можно прочитать целые цепочки разговоров. Одна только таблица содержала десятки миллионов сообщений, многие из которых были получателями сообщений, пытающимися отказаться от получения текстовых сообщений.
TechCrunch связался с TrueDialog по поводу экспозиции, которая быстро вывела базу данных в автономный режим. Несмотря на то, что он несколько раз обращался, исполнительный директор TrueDialog Джон Райт не признал нарушения и не ответил на несколько запросов о комментариях. Райт также не ответил ни на один из наших вопросов – в том числе о том, будет ли компания информировать клиентов о недостатке безопасности, и планирует ли он сообщать регулирующим органам, таким как генеральные прокуроры, в соответствии с законами об уведомлении о нарушении данных.
Компания является лишь одним из многих провайдеров SMS, которые в последние месяцы оставили в Интернете системы – и конфиденциальные текстовые сообщения – чтобы каждый мог получить к ним доступ. Мало того, но это еще один пример того, почему текстовые сообщения SMS могут быть удобными, но не безопасным способом связи – особенно для конфиденциальных данных, таких как отправка двухфакторных кодов.
Подробнее: