Milliónyi SMS üzenet - amelyek közül néhány tartalmaz bejelentkezési és hitelesítési kódot - kerültek ki

Millions of SMS Messages Exposed

A múltban arról beszéltünk, hogy a szöveges üzenetek használata érzékeny információk átadása szempontjából nem túl jó ötlet. Az SMS-üzenetek mögött meghúzódó technológia egyszerűen túl régi, és a SIM-csere egyre növekvő népszerűsége miatt a kommunikáció ez a formája nem megfelelő a 2FA-kódokhoz. A múlt héten Noam Rotem és Ran Locar rájött, hogy az SMS-ek más forgatókönyvekben is feltárhatják az adatokat.

A kiberbiztonsági hírek iránt érdeklődő emberek felismerik Rotem-et és Locar-ot, mint a VPN Mentor kutatócsoportját irányító embereket. Az elmúlt néhány hónapban egy olyan web-feltérképezési projekten dolgoztak, amelynek célja „az internet biztonságosabbá tétele minden felhasználó számára”. A szakértők ezt kiszolgálók és adatbázisok azonosításával teszik meg, amelyek érzékeny információkat fednek fel, és felelősek voltak néhány óriási szivárgás felfedezéséért. November 26-án találtak egy újat.

Az SMS-megoldások szolgáltatója több tízmilliónyi szöveges üzenetet hagy egy kitett adatbázisban

Múlt kedden, Rotem és Locar felfedeztek egy Elasticsearch adatbázist, amelyet a Microsoft Azure üzemeltetett és az Oracle Marketing Cloudon futtatott. Közel 1 milliárd bejegyzés volt, amelyek összesen 604 GB információt tartalmaztak, és a szakértők gyorsan rájöttek, hogy a TrueDialog, egy cég, amely különféle SMS szolgáltatásokat nyújt a vállalkozások számára a világ minden tájáról.

A TrueDialog valaki ezeket a bejegyzéseket egy internetes adatbázisba helyezte, majd elfelejtette azokat jelszóval biztosítani. Ennek eredményeként, bár az Elasticsearch telepítései általában nem érhetők el böngészőn keresztül, a kutatóknak nem csak megtalálniuk kellett őket, hanem URL-manipuláció segítségével átkutathatják azokat is.

A nyilvántartott nyilvántartások közül Rotem és Locar több tízmilliónyi szöveges üzenetet talált a végfelhasználóknak a TrueDialog szolgáltatásai segítségével. Az adatbázis nemcsak az üzenetek tartalmát fedte fel, hanem azok időbélyegzőit és a címzettek telefonszámát is. A TechCrunch Zack Whittaker, aki szintén megtekintette az adatokat, véleménye szerint a feltárt SMS-ek többsége munkajelzéseket, marketing és egyéb, viszonylag irreleváns üzeneteket tartalmazott, de vannak olyan szövegek is, amelyek kéttényezős és bejelentkezési kódot tartalmaztak, beleértve az online orvosi szolgáltatásokhoz és olyan webhelyek, mint a Facebook és a Google. Sajnos ezek távol állnak az egyetlen olyan érzékeny információtól, amelyet felfedtek.

A TrueDialog rengeteg bejelentkezési hitelesítő adatot is feltárt

A szöveges üzenetek mellett a Rotem és a Locar több millió e-mail címet, felhasználónevet és jelszót talált. Néhány jelszót egyszerű szöveges formában tároltak, míg a többit Base64-re kódolták, amely nevetségesen könnyen megfordítható. Mindezek a TrueDialog ügyfelekhez tartoztak, akiknek az expozíció miatt sok károkat okozhattak. Sajnos a gyanútlan végfelhasználókat szintén veszélybe sodorják.

A nyilvántartások százezrei tartalmaztak valós személyekhez tartozó személyes adatokat, ideértve a neveket, a fizikai és az e-mail címeket, a telefonszámokat stb. Sajnos a szakértők nem tudják mondani, hogy hány felhasználót érintettek az adatbázis keresési funkcióinak problémája miatt. Rotem és Locar szerint azonban a TrueDialog SMS-megoldásai akár 5 milliárd előfizető számára is szöveget küldhetnek, és valószínűleg el tudod képzelni, mi történne, ha ezeknek az embereknek még csak kis része véget vetne az adatoknak.

A TrueDialog a homokba temeti a fejét

Ahogy elvárható volt, Noam Rotem és Ran Locar megpróbáltak felvenni a kapcsolatot a TrueDialog-lal, miután felfedezték a feltárt adatbázist. Kevesebb, mint egy nap alatt a tévesen konfigurált Elasticsearch telepítést offline állapotba helyezték, és a szivárgást biztosították. A reakció valóban gyors volt, de összességében a TrueDialog példaként szolgálhat arra, hogyan ne reagáljunk egy adatbiztonsági eseményre.

A cég nem válaszolt a Rotem és Locar e-maileire, és még azután is hallgatott, hogy Zack Whittaker megpróbált felvenni a kapcsolatot. A feltárt adatok mennyisége jelentős, és bár nincs bizonyíték arra, hogy valaki aktívan visszaélne azzal, a potenciálisan okozott károk óriási. A szivárgást konfigurációs hiba váltotta ki, és egy ideális világban azért a felelős cég a lehető legátláthatóbbnak tűnik arról, hogy mi történt és mi történt annak biztosítása érdekében, hogy a felhasználók ne kerüljenek ugyanarra a helyzetre. Ideális világban az említett társaság szintén bánatosan bizonytalan módon nem tárolna jelszavakat. Sajnos ez nem egy ideális világ, és a TrueDialog úgy viselkedik, mintha semmi sem történt volna.

December 2, 2019
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.