Millioner av SMS-meldinger - noen av disse inneholder innloggings- og godkjenningskoder - er blitt utsatt
Vi har snakket tidligere om hvordan det ikke er veldig bra å bruke tekstmeldinger som et middel til å overføre sensitiv informasjon. Teknologien bak SMS-meldinger er rett og slett for gammel, og den økende populariteten til SIM-bytte gjør denne kommunikasjonsformen uegnet for ting som 2FA-koder. Forrige uke fant Noam Rotem og Ran Locar ut at SMS-er kan eksponere data også i andre scenarier.
Folk som er interessert i cybersecurity-nyheter, vil kjenne igjen Rotem og Locar som menneskene som leder et team av forskere fra VPN Mentor. I løpet av de siste månedene har de arbeidet med et nettkartleggingsprosjekt designet for å "gjøre internett tryggere for alle brukere". Ekspertene gjør dette ved å identifisere servere og databaser som utsetter sensitiv informasjon, og de har stått for oppdagelsen av noen få enorme lekkasjer. 26. november fant de en annen.
Table of Contents
En leverandør av SMS-løsninger legger igjen titalls millioner tekstmeldinger i en eksponert database
Forrige tirsdag oppdaget Rotem og Locar en Elasticsearch-database som ble arrangert av Microsoft Azure og kjørte på Oracle Marketing Cloud. Det inneholdt nærmere 1 milliard oppføringer som inneholder totalt 604 GB informasjon, og ekspertene innså raskt at det ble satt opp av TrueDialog, et selskap som leverer forskjellige SMS-tjenester til bedrifter over hele verden.
Noen på TrueDialog plasserte alle disse oppføringene i en internettvendt database og glemte å sikre dem med et passord. Som et resultat, selv om Elasticsearch-installasjoner vanligvis ikke er tilgjengelige gjennom en nettleser, klarte forskerne ikke bare å finne dem, men også skanne gjennom dem ved hjelp av URL-manipulering.
Blant de utsatte postene fant Rotem og Locar titalls millioner tekstmeldinger som ble sendt til sluttbrukere ved hjelp av TrueDialogs tjenester. Databasen avslørte ikke bare innholdet i meldingene, men også tidsstemplene og mottakernes telefonnummer. I følge TechCrunchs Zack Whittaker, som også har sett dataene, inneholdt de fleste av de utsatte SMS-ene jobbvarsler, markedsføring og andre relativt uavhengige meldinger, men det var også tekster som hadde to-faktor og innloggingskoder, inkludert slike for online medisinske tjenester og nettsteder som Facebook og Google. Dessverre er dette langt fra de eneste delene med sensitiv informasjon som ble eksponert.
TrueDialog avslørte også mange påloggingsinformasjon
I tillegg til tekstmeldingene fant Rotem og Locar også millioner av e-postadresser, brukernavn og passord. Noen passord ble lagret i klartekst mens resten ble kodet med Base64, som er latterlig enkelt å reversere. Disse tilhørte alle TrueDialog-kunder som kunne ha påført seg mye skade som følge av eksponeringen. Dessverre ble intetanende sluttbrukere også utsatt.
Hundretusenvis av poster inneholdt personopplysninger som tilhørte virkelige individer, inkludert navn, fysiske adresser og e-postadresser, telefonnumre, etc. Dessverre kan ikke ekspertene si hvor mange brukere som ble berørt på grunn av et problem med databasens søkefunksjonalitet. I følge Rotem og Locar kan imidlertid TrueDialogs SMS-løsninger sende tekster til så mange som 5 milliarder abonnenter, og du kan antagelig forestille deg hva som ville skje hvis til og med en liten del av disse menneskene ender med at dataene deres ble eksponert.
TrueDialog begraver hodet i sanden
Som du kunne forvente, prøvde Noam Rotem og Ran Locar å komme i kontakt med TrueDialog rett etter at de oppdaget den utsatte databasen. I løpet av mindre enn et døgn ble den feilkonfigurerte Elasticsearch-installasjonen tatt offline, og lekkasjen ble sikret. Reaksjonen var riktignok rask, men samlet sett kan TrueDialog tjene som et eksempel på hvordan man ikke skal svare på en datasikkerhetshendelse.
Selskapet unnlot å svare på Rotem og Locars e-poster, og det forble taus selv etter at Zack Whittaker prøvde å komme i kontakt. Datamengden som ble eksponert er betydelig, og selv om det ikke er noen bevis for at noen aktivt misbruker den, er skadene den potensielt kan forårsake enorm. Lekkasjen ble utløst av en konfigurasjonsfeil, og i en ideell verden ville selskapet som var ansvarlig for den prøve å være så gjennomsiktig som mulig om hva som skjedde og hva som er gjort for å sikre at brukere ikke havner i samme situasjon igjen. I en ideell verden ville heller ikke nevnte selskap lagre passord på en sørgelig usikker måte. Dessverre er dette ikke en ideell verden, og TrueDialog opptrer som om ingenting har skjedd.
