Milliónyi SMS üzenet - amelyek közül néhány tartalmaz bejelentkezési és hitelesítési kódot - kerültek ki
A múltban arról beszéltünk, hogy a szöveges üzenetek használata érzékeny információk átadása szempontjából nem túl jó ötlet. Az SMS-üzenetek mögött meghúzódó technológia egyszerűen túl régi, és a SIM-csere egyre növekvő népszerűsége miatt a kommunikáció ez a formája nem megfelelő a 2FA-kódokhoz. A múlt héten Noam Rotem és Ran Locar rájött, hogy az SMS-ek más forgatókönyvekben is feltárhatják az adatokat.
A kiberbiztonsági hírek iránt érdeklődő emberek felismerik Rotem-et és Locar-ot, mint a VPN Mentor kutatócsoportját irányító embereket. Az elmúlt néhány hónapban egy olyan web-feltérképezési projekten dolgoztak, amelynek célja „az internet biztonságosabbá tétele minden felhasználó számára”. A szakértők ezt kiszolgálók és adatbázisok azonosításával teszik meg, amelyek érzékeny információkat fednek fel, és felelősek voltak néhány óriási szivárgás felfedezéséért. November 26-án találtak egy újat.
Table of Contents
Az SMS-megoldások szolgáltatója több tízmilliónyi szöveges üzenetet hagy egy kitett adatbázisban
Múlt kedden, Rotem és Locar felfedeztek egy Elasticsearch adatbázist, amelyet a Microsoft Azure üzemeltetett és az Oracle Marketing Cloudon futtatott. Közel 1 milliárd bejegyzés volt, amelyek összesen 604 GB információt tartalmaztak, és a szakértők gyorsan rájöttek, hogy a TrueDialog, egy cég, amely különféle SMS szolgáltatásokat nyújt a vállalkozások számára a világ minden tájáról.
A TrueDialog valaki ezeket a bejegyzéseket egy internetes adatbázisba helyezte, majd elfelejtette azokat jelszóval biztosítani. Ennek eredményeként, bár az Elasticsearch telepítései általában nem érhetők el böngészőn keresztül, a kutatóknak nem csak megtalálniuk kellett őket, hanem URL-manipuláció segítségével átkutathatják azokat is.
A nyilvántartott nyilvántartások közül Rotem és Locar több tízmilliónyi szöveges üzenetet talált a végfelhasználóknak a TrueDialog szolgáltatásai segítségével. Az adatbázis nemcsak az üzenetek tartalmát fedte fel, hanem azok időbélyegzőit és a címzettek telefonszámát is. A TechCrunch Zack Whittaker, aki szintén megtekintette az adatokat, véleménye szerint a feltárt SMS-ek többsége munkajelzéseket, marketing és egyéb, viszonylag irreleváns üzeneteket tartalmazott, de vannak olyan szövegek is, amelyek kéttényezős és bejelentkezési kódot tartalmaztak, beleértve az online orvosi szolgáltatásokhoz és olyan webhelyek, mint a Facebook és a Google. Sajnos ezek távol állnak az egyetlen olyan érzékeny információtól, amelyet felfedtek.
A TrueDialog rengeteg bejelentkezési hitelesítő adatot is feltárt
A szöveges üzenetek mellett a Rotem és a Locar több millió e-mail címet, felhasználónevet és jelszót talált. Néhány jelszót egyszerű szöveges formában tároltak, míg a többit Base64-re kódolták, amely nevetségesen könnyen megfordítható. Mindezek a TrueDialog ügyfelekhez tartoztak, akiknek az expozíció miatt sok károkat okozhattak. Sajnos a gyanútlan végfelhasználókat szintén veszélybe sodorják.
A nyilvántartások százezrei tartalmaztak valós személyekhez tartozó személyes adatokat, ideértve a neveket, a fizikai és az e-mail címeket, a telefonszámokat stb. Sajnos a szakértők nem tudják mondani, hogy hány felhasználót érintettek az adatbázis keresési funkcióinak problémája miatt. Rotem és Locar szerint azonban a TrueDialog SMS-megoldásai akár 5 milliárd előfizető számára is szöveget küldhetnek, és valószínűleg el tudod képzelni, mi történne, ha ezeknek az embereknek még csak kis része véget vetne az adatoknak.
A TrueDialog a homokba temeti a fejét
Ahogy elvárható volt, Noam Rotem és Ran Locar megpróbáltak felvenni a kapcsolatot a TrueDialog-lal, miután felfedezték a feltárt adatbázist. Kevesebb, mint egy nap alatt a tévesen konfigurált Elasticsearch telepítést offline állapotba helyezték, és a szivárgást biztosították. A reakció valóban gyors volt, de összességében a TrueDialog példaként szolgálhat arra, hogyan ne reagáljunk egy adatbiztonsági eseményre.
A cég nem válaszolt a Rotem és Locar e-maileire, és még azután is hallgatott, hogy Zack Whittaker megpróbált felvenni a kapcsolatot. A feltárt adatok mennyisége jelentős, és bár nincs bizonyíték arra, hogy valaki aktívan visszaélne azzal, a potenciálisan okozott károk óriási. A szivárgást konfigurációs hiba váltotta ki, és egy ideális világban azért a felelős cég a lehető legátláthatóbbnak tűnik arról, hogy mi történt és mi történt annak biztosítása érdekében, hogy a felhasználók ne kerüljenek ugyanarra a helyzetre. Ideális világban az említett társaság szintén bánatosan bizonytalan módon nem tárolna jelszavakat. Sajnos ez nem egy ideális világ, és a TrueDialog úgy viselkedik, mintha semmi sem történt volna.