Millioner af SMS-meddelelser - hvoraf nogle indeholder login- og godkendelseskoder - er blevet udsat
Vi har talt i fortiden om, hvordan brug af tekstbeskeder som et middel til at overføre følsomme oplysninger ikke er en særlig god idé. Teknologien bag SMS-beskeder er simpelthen for gammel, og den stigende popularitet ved SIM-udskiftning gør denne form for kommunikation uegnet til ting som 2FA-koder. Sidste uge fandt Noam Rotem og Ran Locar ud af, at sms'er også kan udsætte data i andre scenarier.
Folk, der er interesseret i cybersecurity-nyheder, vil genkende Rotem og Locar som de mennesker, der leder et team af forskere fra VPN Mentor. I løbet af de sidste par måneder har de arbejdet med et webkortkortprojekt, der er designet til at "gøre internettet mere sikkert for alle brugere". Eksperterne gør dette ved at identificere servere og databaser, der afslører følsom information, og de har været ansvarlige for opdagelsen af et par enorme lækager. Den 26. november fandt de en anden.
Table of Contents
En SMS-udbyder efterlader titusinder af millioner tekstbeskeder i en eksponeret database
Sidste tirsdag opdagede Rotem og Locar en Elasticsearch-database, som blev hostet af Microsoft Azure og kørte på Oracle Marketing Cloud. Det indeholdt næsten 1 milliard poster indeholdende i alt 604 GB information, og eksperterne indså hurtigt, at det blev oprettet af TrueDialog, et firma, der leverede forskellige SMS-tjenester til virksomheder over hele verden.
En person hos TrueDialog placerede alle disse poster i en internetvendt database og glemte derefter at sikre dem med en adgangskode. Som et resultat, selvom Elasticsearch-installationer normalt ikke er tilgængelige via en browser, lykkedes det forskerne ikke kun at finde dem, men også scanne gennem dem ved hjælp af URL-manipulation.
Blandt de udsatte poster lokaliserede Rotem og Locar titusenvis af millioner af tekstmeddelelser sendt til slutbrugere ved hjælp af TrueDialogs tjenester. Databasen afslørede ikke kun indholdet af meddelelserne, men også deres tidsstempler og modtagerens telefonnumre. Ifølge TechCrunchs Zack Whittaker, der også har set dataene, indeholdt de fleste af de udsatte SMS'er jobvarsler, markedsføring og andre relativt ubekymrede meddelelser, men der var også tekster, der indeholdt to-faktor og login-koder, inklusive dem til online medicinske tjenester og websteder som Facebook og Google. Desværre er det langt fra de eneste følsomme oplysninger, der blev udsat for.
TrueDialog udsatte også masser af loginoplysninger
Ud over tekstmeddelelserne fandt Rotem og Locar også millioner af e-mail-adresser, brugernavne og adgangskoder. Nogle adgangskoder blev gemt i klartekst, mens resten blev kodet med Base64, hvilket er latterligt let at vende. Disse tilhørte alle TrueDialog-kunder, der kunne have påført en masse skader som følge af eksponeringen. Desværre blev intetanende slutbrugere også truet.
Hundretusinder af poster indeholdt personlige data, der tilhørte rigtige personer, inklusive navne, fysiske og e-mail-adresser, telefonnumre osv. Desværre kan eksperterne ikke sige, hvor mange brugere der blev påvirket på grund af et problem med databasens søgefunktionalitet. Ifølge Rotem og Locar kan TrueDialogs SMS-løsninger imidlertid sende tekster til så mange som 5 milliarder abonnenter, og du kan sandsynligvis forestille dig, hvad der ville ske, hvis endda en lille del af disse mennesker ender med deres eksponerede data.
TrueDialog begraver sit hoved i sandet
Som du kunne forvente, prøvede Noam Rotem og Ran Locar at komme i kontakt med TrueDialog umiddelbart efter, at de opdagede den eksponerede database. På mindre end et døgn blev den forkert konfigurerede Elasticsearch-installation taget offline, og lækagen blev sikret. Reaktionen var faktisk hurtig, men alt i alt kan TrueDialog tjene som et eksempel på, hvordan man ikke reagerer på en datasikkerhedshændelse.
Virksomheden svarede ikke på Rotem og Locars e-mails, og det forblev tavs, selv efter at Zack Whittaker prøvede at komme i kontakt. Mængden af data, der blev udsat, er betydelig, og selv om der ikke er noget, der tyder på, at nogen aktiv misbruger dem, er skaden, det potentielt kan forårsage, enorm. Lækagen blev udløst af en konfigurationsfejl, og i en ideel verden ville det firma, der var ansvarligt for det, forsøge at være så gennemsigtig som muligt om, hvad der skete, og hvad der er gjort for at sikre, at brugere ikke ender i den samme situation igen. I en ideel verden vil det nævnte firma heller ikke gemme adgangskoder på en sørgelig usikker måde. Desværre er dette ikke en ideel verden, og TrueDialog fungerer som om intet er sket.
