数百万のSMSメッセージ(ログインコードと認証コードを含むものもあります)は公開されています
過去に、機密情報を転送する手段としてテキストメッセージを使用することはあまり良い考えではないことについて話しました 。 SMSメッセージの背後にある技術は単純に古く、 SIMスワッピングの人気が高まっているため、この形式の通信は2FAコードのようなものには不適切です。先週、Noam RotemとRan Locarは、SMSが他のシナリオでもデータを公開できることを発見しました。
サイバーセキュリティのニュースに興味がある人は、RotemとLocarがVPN Mentorの研究者チームを率いる人だと認識するでしょう。過去数か月間、彼らは「すべてのユーザーにとってインターネットをより安全にする」ために設計されたWebマッピングプロジェクトに取り組んできました。専門家は、機密情報を公開するサーバーとデータベースを特定することでこれを行っており、いくつかの巨大なリークの発見を担当しています。 11月26日、彼らは別のものを見つけました。
Table of Contents
SMSソリューションプロバイダーは、公開されたデータベースに数千万のテキストメッセージを残します
先週火曜日、RotemとLocar は 、Microsoft Azureがホストし、Oracle Marketing Cloudで実行されたElasticsearchデータベースを発見しました。合計604 GBの情報を含む約10億のエントリを保持し、専門家は、世界中の企業にさまざまなSMSサービスを提供するTrueDialogがそれを作成したことにすぐに気付きました。
TrueDialogの誰かがこれらのすべてのエントリをインターネットに直接接続したデータベースに配置し、パスワードで保護するのを忘れていました。その結果、Elasticsearchのインストールは通常ブラウザーを介してアクセスできませんが、研究者はそれらを見つけることができただけでなく、URL操作の助けを借りてそれらをスキャンしました。
公開されたレコードの中で、RotemとLocarは、TrueDialogのサービスの助けを借りてエンドユーザーに送信された数千万のテキストメッセージを見つけました。データベースは、メッセージの内容だけでなく、タイムスタンプと受信者の電話番号も明らかにしました。データを見たTechCrunchのZack Whittakerによると、公開されたSMSのほとんどには、求人アラート、マーケティング、その他の比較的重要でないメッセージが含まれていましたが、オンライン医療サービスやFacebookやGoogleなどのウェブサイト。残念ながら、これらは公開された唯一の機密情報とはほど遠いものです。
TrueDialogは多くのログイン資格情報も公開しました
テキストメッセージに加えて、RotemとLocarは何百万ものメールアドレス、ユーザー名、パスワードも見つけました。一部のパスワードはプレーンテキストで保存され、残りはBase64でエンコードされていましたが、これはとてつもなく簡単です。これらはすべて、露出の結果として多くの損害を被る可能性があるTrueDialogのお客様のものでした。残念ながら、疑いを持たないエンドユーザーも危険にさらされました。
数十万件のレコードには、名前、住所、メールアドレス、電話番号など、実際の個人に属する個人データが含まれていました。残念ながら、データベースの検索機能に問題があるために影響を受けたユーザーの数を専門家は言うことはできません。ただし、RotemとLocarによると、TrueDialogのSMSソリューションは最大50億人のサブスクライバーにテキストを送信できます。これらの人々のごく一部でもデータが公開されるとどうなるか想像できるでしょう。
TrueDialogが頭を砂に埋める
ご想像のとおり、Noam RotemとRan Locarは、公開されたデータベースを発見した直後にTrueDialogと連絡を取ろうとしました。 1日もしないうちに、誤って設定されたElasticsearchインストールがオフラインになり、リークが保護されました。反応は確かに迅速でしたが、全体として、TrueDialogはデータセキュリティインシデントに対応しない方法の例として役立ちます。
会社はRotemとLocarのメールへの返信に失敗し、Zack Whittakerが連絡を取ろうとしても黙っていました。公開されたデータの量は膨大であり、誰かが積極的にそれを悪用しているという証拠はありませんが、潜在的に引き起こす可能性のある損害は莫大です。リークは設定エラーによって引き起こされました。理想的な世界では、それを担当する会社は、ユーザーが再び同じ状況に陥らないように、何が起こったのか、何が行われたのかをできる限り透過的にしようとします。理想的な世界では、この会社はパスワードを非常に安全でない方法で保存することもありません。残念ながら、これは理想的な世界ではなく、TrueDialogは何も起こらなかったように動作しています。