Miljoenen sms-berichten - waarvan sommige login- en authenticatiecodes bevatten - zijn blootgesteld

Millions of SMS Messages Exposed

We hebben in het verleden gesproken over het gebruik van sms-berichten als een manier om gevoelige informatie over te dragen, is geen goed idee. De technologie achter sms-berichten is gewoon te oud en de toenemende populariteit van SIM-swapping maakt deze vorm van communicatie ongeschikt voor dingen als 2FA-codes. Vorige week kwamen Noam Rotem en Ran Locar erachter dat sms gegevens ook in andere scenario's kan ontmaskeren.

Mensen die geïnteresseerd zijn in cybersecuritynieuws zullen Rotem en Locar herkennen als de mensen die een team van onderzoekers van VPN Mentor leiden. De afgelopen maanden hebben ze gewerkt aan een webmappingproject dat is ontworpen om "internet veiliger te maken voor alle gebruikers". De experts doen dit door servers en databases te identificeren die gevoelige informatie blootleggen, en ze waren verantwoordelijk voor de ontdekking van een paar enorme lekken. Op 26 november vonden ze er nog een.

Een aanbieder van sms-oplossingen laat tientallen miljoenen sms-berichten achter in een zichtbare database

Afgelopen dinsdag ontdekten Rotem en Locar een Elasticsearch-database die werd gehost door Microsoft Azure en draaide op Oracle Marketing Cloud. Het bevatte bijna 1 miljard inzendingen met in totaal 604 GB aan informatie, en de experts realiseerden zich snel dat het werd opgezet door TrueDialog, een bedrijf dat verschillende sms-diensten levert aan bedrijven over de hele wereld.

Iemand bij TrueDialog plaatste al die gegevens in een database met internettoegang en vergat deze vervolgens te beveiligen met een wachtwoord. Het resultaat is dat, hoewel Elasticsearch-installaties meestal niet toegankelijk zijn via een browser, de onderzoekers ze niet alleen konden vinden, maar er ook doorheen konden scannen met behulp van URL-manipulatie.

Onder de blootgestelde records hebben Rotem en Locar tientallen miljoenen sms-berichten gevonden die naar eindgebruikers zijn verzonden met behulp van de services van TrueDialog. De database onthulde niet alleen de inhoud van de berichten, maar ook hun tijdstempels en de telefoonnummers van de ontvangers. Volgens Zack Whittaker van TechCrunch, die ook de gegevens heeft gezien, bevatten de meeste blootgestelde sms-berichten jobmeldingen, marketing en andere relatief onbeduidende berichten, maar er waren ook teksten met tweefactoren en inlogcodes, waaronder codes voor online medische diensten en websites zoals Facebook en Google. Helaas zijn dit verre van de enige gevoelige informatie die aan het licht is gekomen.

TrueDialog heeft ook veel inloggegevens blootgelegd

Naast de sms-berichten vonden Rotem en Locar ook miljoenen e-mailadressen, gebruikersnamen en wachtwoorden. Sommige wachtwoorden werden in platte tekst opgeslagen, terwijl de rest werd gecodeerd met Base64, wat belachelijk eenvoudig is om te keren. Dit waren allemaal klanten van TrueDialog die door de blootstelling veel schade hadden kunnen oplopen. Helaas werden ook nietsvermoedende eindgebruikers in gevaar gebracht.

Honderdduizenden records bevatten persoonlijke gegevens die toebehoorden aan echte personen, waaronder namen, fysieke en e-mailadressen, telefoonnummers, enz. Helaas kunnen de experts niet zeggen hoeveel gebruikers werden getroffen vanwege een probleem met de zoekfunctionaliteit van de database. Volgens Rotem en Locar kunnen de sms-oplossingen van TrueDialog echter sms-berichten verzenden naar maar liefst 5 miljard abonnees, en je kunt je waarschijnlijk voorstellen wat er zou gebeuren als zelfs een klein deel van die mensen hun gegevens zou zien.

TrueDialog steekt zijn kop in het zand

Zoals je zou verwachten, probeerden Noam Rotem en Ran Locar direct contact op te nemen met TrueDialog nadat ze de blootgestelde database hadden ontdekt. Binnen minder dan een dag werd de verkeerd geconfigureerde Elasticsearch-installatie offline gehaald en was het lek beveiligd. De reactie was inderdaad snel, maar over het algemeen kan TrueDialog dienen als een voorbeeld van hoe niet te reageren op een incident met gegevensbeveiliging.

Het bedrijf reageerde niet op de e-mails van Rotem en Locar en het bleef stil, zelfs nadat Zack Whittaker contact probeerde te krijgen. De hoeveelheid gegevens die is blootgesteld is aanzienlijk, en hoewel er geen aanwijzingen zijn dat iemand deze actief misbruikt, is de schade die deze mogelijk kan veroorzaken enorm. Het lek werd veroorzaakt door een configuratiefout en in een ideale wereld zou het verantwoordelijke bedrijf proberen zo transparant mogelijk te zijn over wat er is gebeurd en wat er is gedaan om ervoor te zorgen dat gebruikers niet opnieuw in dezelfde situatie terechtkomen. In een ideale wereld zou het genoemde bedrijf ook geen wachtwoorden op een hopeloos onzekere manier opslaan. Helaas is dit geen ideale wereld en doet TrueDialog alsof er niets is gebeurd.

December 2, 2019
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.