Εκατομμύρια μηνύματα SMS - μερικά από τα οποία περιέχουν κωδικούς πρόσβασης σύνδεσης και ελέγχου ταυτότητας - έχουν εκτεθεί

Έχουμε μιλήσει στο παρελθόν για το πώς η χρήση μηνυμάτων κειμένου ως μέσο μεταφοράς ευαίσθητων πληροφοριών δεν είναι μια πολύ καλή ιδέα. Η τεχνολογία πίσω από τα μηνύματα SMS είναι απλά πάρα πολύ παλιά και η αυξανόμενη δημοτικότητα της εναλλαγής SIM καθιστά αυτή τη μορφή επικοινωνίας ακατάλληλη για πράγματα όπως οι κωδικοί 2FA. Την περασμένη εβδομάδα, ο Noam Rotem και ο Ran Locar διαπίστωσαν ότι τα SMS μπορούν να εκθέσουν δεδομένα και σε άλλα σενάρια.

Οι άνθρωποι που ενδιαφέρονται για την ασφάλεια στον κυβερνοχώρο θα αναγνωρίσουν τη Rotem και τον Locar ως τους ανθρώπους που κατευθύνονται προς μια ομάδα ερευνητών από το VPN Mentor. Τους τελευταίους μήνες, εργάζονται σε ένα σχέδιο χαρτογράφησης στο διαδίκτυο, το οποίο αποσκοπεί στο να καταστήσει το Διαδίκτυο ασφαλέστερο για όλους τους χρήστες. Οι εμπειρογνώμονες το κάνουν αυτό με τον εντοπισμό διακομιστών και βάσεων δεδομένων που εκθέτουν ευαίσθητες πληροφορίες και είναι υπεύθυνοι για την ανακάλυψη μερικών τεράστιων διαρροών. Στις 26 Νοεμβρίου βρήκαν άλλο ένα.

Ένας παροχέας λύσεων SMS αφήνει δεκάδες εκατομμύρια μηνύματα κειμένου σε μια εκτεθειμένη βάση δεδομένων

Την περασμένη Τρίτη, ο Rotem και ο Locar ανακάλυψαν μια βάση δεδομένων Elasticsearch που φιλοξένησε η Microsoft Azure και έτρεξε στο Oracle Marketing Cloud. Έλαβε περίπου 1 δισεκατομμύριο καταχωρήσεις που περιείχαν συνολικά 604 GB πληροφοριών και οι εμπειρογνώμονες γρήγορα συνειδητοποίησαν ότι το έθεσε η TrueDialog, εταιρεία που παρέχει διάφορες υπηρεσίες SMS σε επιχειρήσεις σε όλο τον κόσμο.

Κάποιος από το TrueDialog βάζει όλες αυτές τις καταχωρήσεις σε μια βάση δεδομένων που βρίσκεται απέναντι στο Διαδίκτυο και στη συνέχεια ξεχάστηκε να τις εξασφαλίσει με κωδικό πρόσβασης. Ως αποτέλεσμα, παρόλο που οι εγκαταστάσεις Elasticsearch συνήθως δεν είναι προσβάσιμες μέσω ενός προγράμματος περιήγησης, οι ερευνητές κατάφεραν όχι μόνο να τα βρουν, αλλά και να τα σαρώσουν με τη βοήθεια χειρισμού URL.

Μεταξύ των εκτεθειμένων αρχείων, η Rotem και ο Locar βρήκαν δεκάδες εκατομμύρια μηνύματα κειμένου που στάλθηκαν στους τελικούς χρήστες με τη βοήθεια των υπηρεσιών της TrueDialog. Η βάση δεδομένων αποκάλυψε όχι μόνο το περιεχόμενο των μηνυμάτων, αλλά και τις χρονικές τους αποστολές και τους αριθμούς τηλεφώνου των παραληπτών. Σύμφωνα με τον Zack Whittaker της TechCrunch, ο οποίος είδε επίσης τα δεδομένα, τα περισσότερα από τα εκτεθειμένα SMS περιείχαν ειδοποιήσεις εργασίας, μάρκετινγκ και άλλα σχετικά μικρά μηνύματα, αλλά υπήρχαν επίσης κείμενα που περιέχουν κωδικούς δύο κωδικών και κωδικών εισόδου, συμπεριλαμβανομένων εκείνων για online ιατρικές υπηρεσίες ιστοσελίδες όπως το Facebook και το Google. Δυστυχώς, αυτά απέχουν πολύ από τα μοναδικά κομμάτια των ευαίσθητων πληροφοριών που έχουν εκτεθεί.

Το TrueDialog εξέθεσε πολλά διαπιστευτήρια σύνδεσης

Εκτός από τα μηνύματα κειμένου, οι Rotem και Locar βρήκαν επίσης εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου, ονόματα χρηστών και κωδικούς πρόσβασης. Μερικοί κωδικοί πρόσβασης αποθηκεύτηκαν σε απλό κείμενο ενώ οι υπόλοιποι κωδικοποιήθηκαν με το Base64, το οποίο είναι γελοία εύκολο να αντιστραφεί. Όλα αυτά ανήκαν σε πελάτες της TrueDialog, οι οποίοι θα μπορούσαν να έχουν υποστεί μεγάλες ζημιές ως αποτέλεσμα της έκθεσης. Δυστυχώς, οι ανυποψίαστοι τελικοί χρήστες διακυβεύονταν επίσης.

Εκατοντάδες χιλιάδες αρχεία περιείχαν προσωπικά δεδομένα που ανήκαν σε πραγματικά άτομα, συμπεριλαμβανομένων ονομάτων, φυσικών και ηλεκτρονικών διευθύνσεων, αριθμών τηλεφώνου κ.λπ. Δυστυχώς, οι εμπειρογνώμονες δεν μπορούν να πει πόσοι χρήστες επηρεάστηκαν εξαιτίας ενός προβλήματος με τη λειτουργία αναζήτησης της βάσης δεδομένων. Ωστόσο, σύμφωνα με τους Rotem και Locar, οι λύσεις SMS της TrueDialog μπορούν να στείλουν κείμενα σε 5 δισεκατομμύρια συνδρομητές και ίσως να φανταστείτε τι θα συμβεί εάν ακόμη και ένα μικρό μέρος αυτών των ανθρώπων καταλήξει στα δεδομένα τους.

Το TrueDialog αιφνιδιάζει το κεφάλι του στην άμμο

Όπως θα περίμενε κανείς, ο Noam Rotem και ο Ran Locar προσπάθησαν να έρθουν σε επαφή με το TrueDialog αμέσως μόλις ανακάλυψαν την εκτεθειμένη βάση δεδομένων. Μέσα σε λιγότερο από μία ημέρα, η εσφαλμένη ρύθμιση της εγκατάστασης Elasticsearch έγινε εκτός σύνδεσης και η διαρροή ασφαλίστηκε. Η αντίδραση ήταν πράγματι γρήγορη, αλλά συνολικά, το TrueDialog μπορεί να χρησιμεύσει ως παράδειγμα για το πώς να μην απαντήσει σε ένα περιστατικό ασφάλειας δεδομένων.

Η εταιρεία δεν απάντησε στα μηνύματα του Rotem και του Locar και παρέμεινε σιωπηλός ακόμα και μετά την προσπάθεια του Zack Whittaker να έρθει σε επαφή. Ο όγκος των δεδομένων που εκτέθηκαν είναι σημαντικός και παρόλο που δεν υπάρχουν ενδείξεις ότι κάποιος ενεργεί κατάχρηση ενεργά, η ζημιά που μπορεί να προκαλέσει είναι τεράστια. Η διαρροή προκλήθηκε από σφάλμα διαμόρφωσης και σε έναν ιδανικό κόσμο, η εταιρεία που είναι υπεύθυνη για αυτό θα προσπαθούσε να είναι όσο το δυνατόν πιο διαφανής σχετικά με το τι συνέβη και τι έγινε για να διασφαλίσει ότι οι χρήστες δεν θα καταλήξουν ξανά στην ίδια κατάσταση. Σε έναν ιδανικό κόσμο, η εν λόγω εταιρεία δεν θα αποθηκεύει κωδικούς πρόσβασης με θλιβερό ανασφαλές τρόπο. Δυστυχώς, αυτό δεν είναι ένας ιδανικός κόσμος, και το TrueDialog ενεργεί σαν να μην έχει συμβεί τίποτα.