Milijonai SMS žinučių, iš kurių kai kurios turėjo prisijungimo ir autentifikavimo kodus, buvo paviešintos
Anksčiau kalbėjome apie tai, kaip naudoti tekstinius pranešimus kaip slaptos informacijos perdavimo priemonę nėra labai gera idėja. SMS žinučių technologija yra tiesiog per sena, o dėl didėjančio SIM mainų populiarumo ši komunikacijos forma yra netinkama tokiems dalykams kaip 2FA kodai. Praėjusią savaitę Noam Rotem ir Ran Locar išsiaiškino, kad SMS gali atskleisti duomenis ir kituose scenarijuose.
Žmonės, besidomintys kibernetinio saugumo naujienomis, atpažins Rotemą ir Locarą kaip žmones, vadovaujančius tyrėjų komandai iš „VPN Mentor“. Per pastaruosius keletą mėnesių jie dirbo prie interneto žemėlapių sudarymo projekto, skirto „padaryti internetą saugesnį visiems vartotojams“. Ekspertai tai daro nustatydami serverius ir duomenų bazes, atskleidžiančius neskelbtiną informaciją, ir jie buvo atsakingi už kelių milžiniškų nutekėjimų atradimą. Lapkričio 26 dieną jie rado dar vieną.
Table of Contents
SMS sprendimų teikėjas palieka dešimtis milijonų tekstinių pranešimų atviroje duomenų bazėje
Praėjusį antradienį Rotem ir Locar atrado „ Elasticsearch“ duomenų bazę, kurią priglobė „Microsoft Azure“ ir kuri veikė „Oracle Marketing Cloud“. Jame buvo beveik 1 milijardas įrašų, kuriuose buvo iš viso 604 GB informacijos, ir ekspertai greitai suprato, kad jį parengė „TrueDialog“, įmonė, teikianti įvairias SMS paslaugas viso pasaulio įmonėms.
Kažkas „TrueDialog“ visus tuos įrašus įdėjo į internetinę duomenų bazę ir pamiršo juos apsaugoti slaptažodžiu. Todėl, nors Elasticsearch instaliacijos paprastai nėra pasiekiamos per naršyklę, tyrinėtojams pavyko ne tik jas surasti, bet ir nuskaityti naudojant manipuliavimo URL pagalba.
Tarp paviešintų įrašų „Rotem“ ir „Locar“ rado dešimtis milijonų tekstinių pranešimų, išsiųstų galutiniams vartotojams naudojant „TrueDialog“ paslaugas. Duomenų bazėje buvo atskleistas ne tik žinučių turinys, bet ir jų laiko žymės bei gavėjų telefono numeriai. Pasak „ TechCrunch“ darbuotojo Zacko Whittakerio, kuris taip pat matė duomenis, daugumoje atskleistų SMS žinučių buvo įspėjimai apie darbą, rinkodara ir kiti santykinai nereikšmingi pranešimai, tačiau taip pat buvo tekstų, kuriuose buvo dviejų faktorių ir prisijungimo kodai, įskaitant internetinių medicinos paslaugų ir svetainėse, tokiose kaip „Facebook“ ir „Google“. Deja, tai toli gražu ne vienintelė neatskleista jautri informacija.
„TrueDialog“ taip pat atskleidė daugybę prisijungimo duomenų
Be tekstinių pranešimų, „Rotem“ ir „Locar“ taip pat rado milijonus el. Pašto adresų, naudotojų vardų ir slaptažodžių. Kai kurie slaptažodžiai buvo saugomi paprastu tekstu, o kiti buvo užkoduoti „Base64“, kurį juokingai lengva pakeisti. Jie visi priklausė „TrueDialog“ klientams, kurie dėl ekspozicijos galėjo padaryti daug žalos. Deja, neįtariantiems galutiniams vartotojams taip pat iškilo pavojus.
Šimtuose tūkstančių įrašų buvo asmeninių duomenų, priklausančių tikriems asmenims, įskaitant vardus, fizinius ir el. Pašto adresus, telefonų numerius ir kt. Deja, ekspertai negali pasakyti, kiek vartotojų paveikė dėl duomenų bazės paieškos funkcijos problemų. Anot „Rotem“ ir „Locar“, vis dėlto „TrueDialog“ SMS sprendimai gali siųsti tekstus net 5 milijardams abonentų, ir tikriausiai galite įsivaizduoti, kas nutiktų, jei net maža dalis tų žmonių patektų į savo duomenis.
„TrueDialog“ palaidoja galvą smėlyje
Kaip ir tikėjotės, Noam Rotem ir Ran Locar bandė susisiekti su TrueDialog iš karto po to, kai atrado neapsaugotą duomenų bazę. Per mažiau nei dieną neteisingai sukonfigūruota „Elasticsearch“ instaliacija buvo neprisijungusi, o nuotėkis buvo užtikrintas. Reakcija buvo išties greita, tačiau iš esmės „TrueDialog“ gali būti pavyzdys, kaip nereaguoti į duomenų saugumo incidentą.
Bendrovė neatsakė į Rotemo ir Locaro el. Laiškus ir nutilo net po to, kai Zackas Whittakeris bandė susisiekti. Buvo atskleista nemaža duomenų apimtis ir nors nėra įrodymų, kad kažkas tuo aktyviai piktnaudžiauja, žala, kurią ji gali padaryti, yra didžiulė. Nutekėjimą sukėlė konfigūracijos klaida, o idealiame pasaulyje už tai atsakinga įmonė stengsis kiek įmanoma skaidriau papasakoti, kas atsitiko ir kas buvo padaryta, kad vartotojai vėl nepatektų į tokią pačią situaciją. Idealiame pasaulyje minėta įmonė taip pat nelaikytų slaptažodžių baisiai nesaugiai. Deja, tai nėra idealus pasaulis, ir „TrueDialog“ elgiasi taip, lyg nieko neįvyktų.
