数百万のSMSメッセージ(ログインコードと認証コードを含むものもあります)は公開されています

Millions of SMS Messages Exposed

過去に、機密情報を転送する手段としてテキストメッセージを使用することはあまり良い考えではないことについて話しました 。 SMSメッセージの背後にある技術は単純に古く、 SIMスワッピングの人気が高まっているため、この形式の通信は2FAコードのようなものには不適切です。先週、Noam RotemとRan Locarは、SMSが他のシナリオでもデータを公開できることを発見しました。

サイバーセキュリティのニュースに興味がある人は、RotemとLocarがVPN Mentorの研究者チームを率いる人だと認識するでしょう。過去数か月間、彼らは「すべてのユーザーにとってインターネットをより安全にする」ために設計されたWebマッピングプロジェクトに取り組んできました。専門家は、機密情報を公開するサーバーとデータベースを特定することでこれを行っており、いくつかの巨大なリークの発見を担当しています。 11月26日、彼らは別のものを見つけました。

SMSソリューションプロバイダーは、公開されたデータベースに数千万のテキストメッセージを残します

先週火曜日、RotemとLocar 、Microsoft Azureがホストし、Oracle Marketing Cloudで実行されたElasticsearchデータベースを発見しました。合計604 GBの情報を含む約10億のエントリを保持し、専門家は、世界中の企業にさまざまなSMSサービスを提供するTrueDialogがそれを作成したことにすぐに気付きました。

TrueDialogの誰かがこれらのすべてのエントリをインターネットに直接接続したデータベースに配置し、パスワードで保護するのを忘れていました。その結果、Elasticsearchのインストールは通常ブラウザーを介してアクセスできませんが、研究者はそれらを見つけることができただけでなく、URL操作の助けを借りてそれらをスキャンしました。

公開されたレコードの中で、RotemとLocarは、TrueDialogのサービスの助けを借りてエンドユーザーに送信された数千万のテキストメッセージを見つけました。データベースは、メッセージの内容だけでなく、タイムスタンプと受信者の電話番号も明らかにしました。データを見たTechCrunchのZack Whittakerによると、公開されたSMSのほとんどには、求人アラート、マーケティング、その他の比較的重要でないメッセージが含まれていましたが、オンライン医療サービスやFacebookやGoogleなどのウェブサイト。残念ながら、これらは公開された唯一の機密情報とはほど遠いものです。

TrueDialogは多くのログイン資格情報も公開しました

テキストメッセージに加えて、RotemとLocarは何百万ものメールアドレス、ユーザー名、パスワードも見つけました。一部のパスワードはプレーンテキストで保存され、残りはBase64でエンコードされていましたが、これはとてつもなく簡単です。これらはすべて、露出の結果として多くの損害を被る可能性があるTrueDialogのお客様のものでした。残念ながら、疑いを持たないエンドユーザーも危険にさらされました。

数十万件のレコードには、名前、住所、メールアドレス、電話番号など、実際の個人に属する個人データが含まれていました。残念ながら、データベースの検索機能に問題があるために影響を受けたユーザーの数を専門家は言うことはできません。ただし、RotemとLocarによると、TrueDialogのSMSソリューションは最大50億人のサブスクライバーにテキストを送信できます。これらの人々のごく一部でもデータが公開されるとどうなるか想像できるでしょう。

TrueDialogが頭を砂に埋める

ご想像のとおり、Noam RotemとRan Locarは、公開されたデータベースを発見した直後にTrueDialogと連絡を取ろうとしました。 1日もしないうちに、誤って設定されたElasticsearchインストールがオフラインになり、リークが保護されました。反応は確かに迅速でしたが、全体として、TrueDialogはデータセキュリティインシデントに対応しない方法の例として役立ちます。

会社はRotemとLocarのメールへの返信に失敗し、Zack Whittakerが連絡を取ろうとしても黙っていました。公開されたデータの量は膨大であり、誰かが積極的にそれを悪用しているという証拠はありませんが、潜在的に引き起こす可能性のある損害は莫大です。リークは設定エラーによって引き起こされました。理想的な世界では、それを担当する会社は、ユーザーが再び同じ状況に陥らないように、何が起こったのか、何が行われたのかをできる限り透過的にしようとします。理想的な世界では、この会社はパスワードを非常に安全でない方法で保存することもありません。残念ながら、これは理想的な世界ではなく、TrueDialogは何も起こらなかったように動作しています。

Duran
December 2, 2019
News
日本語
December 2, 2019
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。