Millionen von SMS-Nachrichten - von denen einige Anmelde- und Authentifizierungscodes enthielten - wurden freigelegt

Millions of SMS Messages Exposed

Wir haben in der Vergangenheit darüber gesprochen, dass die Verwendung von Textnachrichten zum Übertragen vertraulicher Informationen keine sehr gute Idee ist. Die Technologie hinter SMS-Nachrichten ist einfach zu alt und die zunehmende Beliebtheit des SIM-Austauschs macht diese Form der Kommunikation für Dinge wie 2FA-Codes ungeeignet. In der vergangenen Woche haben Noam Rotem und Ran Locar herausgefunden, dass SMS Daten auch in anderen Szenarien verfügbar machen können.

Leute, die sich für Cybersicherheitsnachrichten interessieren, werden Rotem und Locar als die Leiter eines Forscherteams von VPN Mentor erkennen. In den letzten Monaten haben sie an einem Web-Mapping-Projekt gearbeitet, um "das Internet für alle Benutzer sicherer zu machen". Die Experten identifizieren dazu Server und Datenbanken, die vertrauliche Informationen offenlegen, und sind für die Entdeckung einiger enormer Lecks verantwortlich. Am 26. November fanden sie einen anderen.

Ein SMS-Lösungsanbieter hinterlässt Millionen von Textnachrichten in einer exponierten Datenbank

Am vergangenen Dienstag, Rotem und Locar entdeckten eine Elasticsearch Datenbank, die von Microsoft Azure und läuft auf Oracle - Marketing - Cloud gehostet wurde. Fast eine Milliarde Einträge enthielten insgesamt 604 GB an Informationen, und die Experten stellten schnell fest, dass TrueDialog, ein Unternehmen, das verschiedene SMS-Dienste für Unternehmen auf der ganzen Welt anbietet, diese bereitstellte.

Jemand von TrueDialog hat all diese Einträge in eine mit dem Internet verbundene Datenbank gestellt und dann vergessen, sie mit einem Passwort zu sichern. Obwohl die Elasticsearch-Installationen normalerweise nicht über einen Browser zugänglich sind, gelang es den Forschern, sie nicht nur zu finden, sondern mithilfe der URL-Manipulation auch zu durchsuchen.

Unter den freigelegten Aufzeichnungen fanden Rotem und Locar Millionen von Textnachrichten, die mithilfe der TrueDialog-Dienste an Endbenutzer gesendet wurden. Die Datenbank enthüllte nicht nur den Inhalt der Nachrichten, sondern auch deren Zeitstempel und die Telefonnummern der Empfänger. Laut Zack Whittaker von TechCrunch, der die Daten ebenfalls gesehen hat, enthielten die meisten aufgedeckten SMS Jobbenachrichtigungen, Marketing- und andere relativ belanglose Nachrichten, aber es gab auch Texte mit Zwei-Faktor- und Login-Codes, einschließlich solcher für medizinische Online-Dienste und Websites wie Facebook und Google. Leider sind dies bei weitem nicht die einzigen vertraulichen Informationen, die enthüllt wurden.

TrueDialog enthüllte auch viele Anmeldeinformationen

Neben den Textnachrichten haben Rotem und Locar auch Millionen von E-Mail-Adressen, Benutzernamen und Kennwörtern gefunden. Einige Passwörter wurden im Klartext gespeichert, während der Rest mit Base64 verschlüsselt wurde, was lächerlich einfach rückgängig zu machen ist. Dies alles gehörte TrueDialog-Kunden, die durch die Exposition großen Schaden hätten anrichten können. Leider waren auch ahnungslose Endbenutzer gefährdet.

Hunderttausende von Datensätzen enthielten persönliche Daten, die echten Personen gehörten, einschließlich Namen, physischen und E-Mail-Adressen, Telefonnummern usw. Leider können die Experten nicht sagen, wie viele Benutzer aufgrund eines Problems mit der Suchfunktion der Datenbank betroffen waren. Laut Rotem und Locar können die SMS-Lösungen von TrueDialog jedoch Texte an bis zu 5 Milliarden Abonnenten senden, und Sie können sich wahrscheinlich vorstellen, was passieren würde, wenn selbst ein kleiner Teil dieser Personen ihre Daten offenlegen würde.

TrueDialog steckt den Kopf in den Sand

Wie zu erwarten, haben Noam Rotem und Ran Locar versucht, sich direkt nach der Entdeckung der freigelegten Datenbank mit TrueDialog in Verbindung zu setzen. Innerhalb von weniger als einem Tag wurde die falsch konfigurierte Elasticsearch-Installation offline geschaltet und das Leck gesichert. Die Reaktion war zwar schnell, aber insgesamt kann TrueDialog als Beispiel dafür dienen, wie man nicht auf einen Datensicherheitsvorfall reagiert.

Das Unternehmen antwortete nicht auf die E-Mails von Rotem und Locar, und es blieb still, selbst nachdem Zack Whittaker versucht hatte, Kontakt aufzunehmen. Das Datenvolumen, das verfügbar gemacht wurde, ist erheblich, und obwohl es keine Anzeichen dafür gibt, dass jemand es aktiv missbraucht, ist der Schaden, den es möglicherweise verursacht, enorm. Das Leck wurde durch einen Konfigurationsfehler ausgelöst, und in einer idealen Welt würde das dafür verantwortliche Unternehmen versuchen, so transparent wie möglich darüber zu sein, was passiert ist und was getan wurde, um sicherzustellen, dass Benutzer nicht wieder in die gleiche Situation geraten. In einer idealen Welt würde das Unternehmen Passwörter auch nicht auf eine absolut unsichere Weise speichern. Leider ist dies keine ideale Welt, und TrueDialog tut so, als wäre nichts passiert.

Bis Duran
December 2, 2019
News
Deutsch
December 2, 2019
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.