Milioni di messaggi SMS, alcuni dei quali contengono codici di accesso e autenticazione, sono stati esposti

Millions of SMS Messages Exposed

In passato abbiamo parlato di come utilizzare i messaggi di testo come mezzo per trasferire informazioni sensibili non sia una buona idea. La tecnologia alla base dei messaggi SMS è semplicemente troppo vecchia e la crescente popolarità dello scambio di SIM rende questa forma di comunicazione inadatta a cose come i codici 2FA. La scorsa settimana, Noam Rotem e Ran Locar hanno scoperto che gli SMS possono esporre i dati anche in altri scenari.

Le persone interessate alle notizie sulla sicurezza informatica riconosceranno Rotem e Locar come le persone a capo di un team di ricercatori di VPN Mentor. Negli ultimi mesi hanno lavorato a un progetto di mappatura web progettato per "rendere Internet più sicuro per tutti gli utenti". Gli esperti lo stanno facendo identificando server e database che espongono informazioni riservate e sono stati responsabili della scoperta di alcune enormi perdite. Il 26 novembre ne hanno trovato un altro.

Un fornitore di soluzioni SMS lascia decine di milioni di messaggi di testo in un database esposto

Martedì scorso, Rotem e Locar hanno scoperto un database Elasticsearch ospitato da Microsoft Azure ed eseguito su Oracle Marketing Cloud. Contiene quasi 1 miliardo di voci contenenti un totale di 604 GB di informazioni e gli esperti hanno subito capito che era stato creato da TrueDialog, una società che fornisce vari servizi SMS alle aziende di tutto il mondo.

Qualcuno su TrueDialog ha inserito tutte quelle voci in un database rivolto a Internet e poi ha dimenticato di proteggerle con una password. Di conseguenza, sebbene le installazioni di Elasticsearch di solito non siano accessibili tramite un browser, i ricercatori sono riusciti non solo a trovarle ma anche a scansionarle con l'aiuto della manipolazione degli URL.

Tra i record esposti, Rotem e Locar hanno individuato decine di milioni di messaggi di testo inviati agli utenti finali con l'aiuto dei servizi TrueDialog. Il database ha rivelato non solo il contenuto dei messaggi ma anche i loro timestamp e i numeri di telefono dei destinatari. Secondo Zack Whittaker di TechCrunch, che ha anche visto i dati, la maggior parte degli SMS esposti conteneva messaggi di lavoro, messaggi di marketing e altri messaggi relativamente insignificanti, ma c'erano anche testi che contenevano codici a due fattori e di accesso, compresi quelli per i servizi medici online e siti web come Facebook e Google. Sfortunatamente, queste sono tutt'altro che le uniche informazioni sensibili che sono state esposte.

TrueDialog ha anche rivelato molte credenziali di accesso

Oltre ai messaggi di testo, Rotem e Locar hanno anche trovato milioni di indirizzi e-mail, nomi utente e password. Alcune password sono state memorizzate in testo normale mentre il resto è stato codificato con Base64, che è incredibilmente facile da invertire. Tutti appartenevano ai clienti TrueDialog che avrebbero potuto subire molti danni a seguito dell'esposizione. Sfortunatamente, anche gli utenti ignari sono stati messi a rischio.

Centinaia di migliaia di record contenevano dati personali che appartenevano a individui reali, inclusi nomi, indirizzi fisici ed e-mail, numeri di telefono, ecc. Sfortunatamente, gli esperti non possono dire quanti utenti sono stati colpiti a causa di un problema con la funzionalità di ricerca del database. Secondo Rotem e Locar, tuttavia, le soluzioni SMS di TrueDialog possono inviare messaggi a un massimo di 5 miliardi di abbonati e probabilmente si può immaginare cosa accadrebbe se anche una piccola parte di quelle persone finisse con i loro dati esposti.

TrueDialog seppellisce la testa nella sabbia

Come prevedibile, Noam Rotem e Ran Locar hanno provato a mettersi in contatto con TrueDialog subito dopo aver scoperto il database esposto. In meno di un giorno, l'installazione errata di Elasticsearch è stata messa offline e la perdita è stata protetta. La reazione è stata davvero rapida, ma nel complesso TrueDialog può servire da esempio di come non rispondere a un incidente di sicurezza dei dati.

La compagnia non riuscì a rispondere alle e-mail di Rotem e Locar, e rimase in silenzio anche dopo che Zack Whittaker cercò di mettersi in contatto. Il volume di dati che è stato esposto è significativo e, sebbene non vi siano prove di abuso attivo da parte di qualcuno, il danno che può potenzialmente causare è enorme. La perdita è stata innescata da un errore di configurazione e, in un mondo ideale, la società responsabile avrebbe cercato di essere il più trasparente possibile su ciò che è accaduto e ciò che è stato fatto per garantire che gli utenti non finiscano di nuovo nella stessa situazione. In un mondo ideale, la suddetta società non memorizzerebbe le password in un modo terribilmente insicuro. Sfortunatamente, questo non è un mondo ideale e TrueDialog si comporta come se nulla fosse successo.

December 2, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.