Des millions de messages SMS - dont certains contiennent des codes de connexion et d'authentification - ont été exposés
Nous avons déjà expliqué que l’utilisation de SMS pour transférer des informations sensibles n’était pas une très bonne idée. La technologie sous-jacente aux messages SMS est tout simplement trop ancienne et la popularité croissante de la permutation de cartes SIM rend cette forme de communication inappropriée pour des éléments tels que les codes 2FA. La semaine dernière, Noam Rotem et Ran Locar ont découvert que les SMS peuvent également exposer des données dans d'autres scénarios.
Les personnes intéressées par les actualités sur la cybersécurité reconnaîtront Rotem et Locar comme les personnes dirigeant une équipe de chercheurs de VPN Mentor. Au cours des derniers mois, ils ont travaillé sur un projet de cartographie Web conçu pour "rendre Internet plus sûr pour tous les utilisateurs". Les experts y parviennent en identifiant les serveurs et les bases de données qui exposent des informations sensibles. Ils sont également responsables de la découverte de quelques énormes fuites. Le 26 novembre, ils en ont trouvé un autre.
Table of Contents
Un fournisseur de solutions SMS laisse des dizaines de millions de messages texte dans une base de données exposée.
Mardi dernier, Rotem et Locar ont découvert une base de données Elasticsearch hébergée par Microsoft Azure et exécutée sur Oracle Marketing Cloud. Il contenait près d'un milliard d'entrées contenant un total de 604 Go d'informations. Les experts ont vite compris qu'il avait été installé par TrueDialog, une entreprise fournissant divers services SMS aux entreprises du monde entier.
Quelqu'un chez TrueDialog a placé toutes ces entrées dans une base de données accessible sur Internet et a ensuite oublié de les sécuriser avec un mot de passe. En conséquence, bien que les installations d’Elasticsearch ne soient généralement pas accessibles via un navigateur, les chercheurs ont non seulement réussi à les trouver, mais aussi à les parcourir à l’aide de la manipulation des URL.
Parmi les enregistrements exposés, Rotem et Locar ont localisé des dizaines de millions de SMS envoyés aux utilisateurs finaux à l'aide des services de TrueDialog. La base de données a révélé non seulement le contenu des messages, mais également leur horodatage et les numéros de téléphone des destinataires. Selon Zack Whittaker de TechCrunch, qui a également vu les données, la plupart des SMS exposés contenaient des alertes d'emploi, du marketing et d'autres messages relativement peu importants, mais il existait également des textes comportant des codes à deux facteurs et des codes de connexion, notamment ceux destinés aux services médicaux en ligne et des sites comme Facebook et Google. Malheureusement, ces informations sont loin d’être les seules informations sensibles à avoir été exposées.
TrueDialog a également exposé de nombreuses informations d'identification de connexion
En plus des messages texte, Rotem et Locar ont également trouvé des millions d'adresses électroniques, de noms d'utilisateur et de mots de passe. Certains mots de passe ont été stockés en texte brut tandis que les autres ont été codés avec Base64, ce qui est ridiculement facile à inverser. Celles-ci appartenaient toutes à des clients de TrueDialog qui auraient pu subir beaucoup de dommages à la suite de cette exposition. Malheureusement, les utilisateurs finaux non méfiants ont également été mis en danger.
Des centaines de milliers d'enregistrements contenaient des données personnelles appartenant à des personnes réelles, notamment des noms, des adresses physiques et électroniques, des numéros de téléphone, etc. Malheureusement, les experts ne peuvent pas dire combien d'utilisateurs ont été affectés en raison d'un problème lié à la fonctionnalité de recherche de la base de données. Cependant, selon Rotem et Locar, les solutions SMS de TrueDialog peuvent envoyer des SMS à plus de 5 milliards d’abonnés, et vous pouvez probablement imaginer ce qui se passerait si même une petite partie de ces personnes finissait par exposer leurs données.
TrueDialog enterre sa tête dans le sable
Comme vous vous en doutez, Noam Rotem et Ran Locar ont tenté de contacter TrueDialog immédiatement après avoir découvert la base de données exposée. En moins d’une journée, l’installation mal configurée d’Elasticsearch a été mise hors ligne et la fuite a été réparée. La réaction a été rapide, mais dans l'ensemble, TrueDialog peut servir d'exemple pour éviter de réagir à un incident de sécurité des données.
La société n'a pas répondu aux courriels de Rotem et Locar, et elle est restée silencieuse même après que Zack Whittaker ait tenté d'entrer en contact. Le volume de données exposées est important et, même s’il n’est pas prouvé que quelqu'un en abuse, les dégâts qu’il peut potentiellement causer sont énormes. La fuite a été provoquée par une erreur de configuration et, dans un monde idéal, la société responsable tenterait de faire preuve de la plus grande transparence possible concernant ce qui s'est passé et ce qui a été fait pour que les utilisateurs ne se retrouvent plus dans la même situation. Dans un monde idéal, la société en question ne serait pas en train de stocker les mots de passe avec une précarité déplorable. Malheureusement, ce n'est pas un monde idéal et TrueDialog agit comme si rien ne s'était passé.
