Miliony wiadomości SMS - niektóre z nich zawierały kody logowania i uwierzytelnienia - zostały ujawnione
W przeszłości rozmawialiśmy o tym, w jaki sposób używanie wiadomości tekstowych jako środka do przesyłania poufnych informacji nie jest zbyt dobrym pomysłem. Technologia wiadomości SMS jest po prostu za stara, a rosnąca popularność wymiany kart SIM sprawia, że ta forma komunikacji jest nieodpowiednia dla takich kodów, jak kody 2FA. W zeszłym tygodniu Noam Rotem i Ran Locar odkryli, że SMS-y mogą ujawniać dane także w innych scenariuszach.
Osoby zainteresowane wiadomościami z zakresu cyberbezpieczeństwa rozpoznają Rotem i Locar jako osoby kierujące zespołem naukowców z VPN Mentor. W ciągu ostatnich kilku miesięcy pracowali nad projektem mapowania sieci, mającym na celu „uczynienie Internetu bezpieczniejszym dla wszystkich użytkowników”. Eksperci robią to, identyfikując serwery i bazy danych, które ujawniają poufne informacje, i byli odpowiedzialni za odkrycie kilku ogromnych wycieków. 26 listopada znaleźli kolejny.
Table of Contents
Dostawca rozwiązań SMS pozostawia dziesiątki milionów wiadomości tekstowych w odsłoniętej bazie danych
W zeszły wtorek Rotem i Locar odkryli bazę danych Elasticsearch, która była hostowana przez Microsoft Azure i działała w Oracle Marketing Cloud. Zawierał prawie 1 miliard wpisów, zawierających łącznie 604 GB informacji, a eksperci szybko zdali sobie sprawę, że została utworzona przez TrueDialog, firmę świadczącą różne usługi SMS dla firm na całym świecie.
Ktoś z TrueDialog umieścił wszystkie te wpisy w internetowej bazie danych, a następnie zapomniał zabezpieczyć je hasłem. W rezultacie, chociaż instalacje Elasticsearch zwykle nie są dostępne za pośrednictwem przeglądarki, badaczom udało się nie tylko je znaleźć, ale także przeskanować je za pomocą manipulacji adresami URL.
Wśród ujawnionych danych Rotem i Locar zlokalizowały dziesiątki milionów wiadomości tekstowych wysyłanych do użytkowników końcowych za pomocą usług TrueDialog. Baza danych ujawniła nie tylko treść wiadomości, ale także ich sygnatury czasowe i numery telefonów odbiorców. Według Zacka Whittakera z TechCruncha, który również widział dane, większość odsłoniętych SMS-ów zawierała alerty o pracy, marketing i inne względnie nieistotne wiadomości, ale były też SMS-y zawierające kody dwuskładnikowe i kody logowania, w tym dla internetowych usług medycznych i strony internetowe takie jak Facebook i Google. Niestety są to dalekie od jedynych poufnych informacji, które zostały ujawnione.
TrueDialog ujawnił również wiele danych logowania
Oprócz wiadomości tekstowych, Rotem i Locar również znalazły miliony adresów e-mail, nazw użytkowników i haseł. Niektóre hasła były przechowywane w postaci zwykłego tekstu, a pozostałe były kodowane przy użyciu Base64, co jest absurdalnie łatwe do odwrócenia. Wszystko to należało do klientów TrueDialog, którzy mogli ponieść duże szkody w wyniku narażenia. Niestety zagrożeni byli także niczego niepodejrzewający użytkownicy końcowi.
Setki tysięcy rekordów zawierały dane osobowe należące do prawdziwych osób, w tym nazwiska, adresy fizyczne i e-mail, numery telefonów itp. Niestety eksperci nie są w stanie powiedzieć, ilu użytkowników dotknęło to z powodu problemu z funkcją wyszukiwania w bazie danych. Jednak według Rotem i Locara rozwiązania SMS TrueDialog mogą wysyłać SMS-y nawet do 5 miliardów subskrybentów, i prawdopodobnie możesz sobie wyobrazić, co by się stało, gdyby nawet niewielka część tych osób ujawniła swoje dane.
TrueDialog chowa głowę w piasek
Jak można się spodziewać, Noam Rotem i Ran Locar próbowali skontaktować się z TrueDialog natychmiast po odkryciu ujawnionej bazy danych. W ciągu niecałego dnia źle skonfigurowana instalacja Elasticsearch została przełączona w tryb offline, a wyciek został zabezpieczony. Reakcja była rzeczywiście szybka, ale ogólnie TrueDialog może służyć jako przykład tego, jak nie reagować na incydent związany z bezpieczeństwem danych.
Firma nie odpowiedziała na e-maile Rotema i Locara i milczała nawet po tym, jak Zack Whittaker próbował się skontaktować. Ilość ujawnionych danych jest znacząca i chociaż nie ma dowodów na to, że ktoś aktywnie je nadużywa, szkody, które może potencjalnie spowodować, są ogromne. Wyciek został spowodowany błędem konfiguracji, a w idealnym świecie firma odpowiedzialna za to starałaby się zachować jak największą przejrzystość co do tego, co się wydarzyło i co zostało zrobione, aby użytkownicy nie znaleźli się ponownie w tej samej sytuacji. W idealnym świecie wspomniana firma również nie przechowywałaby haseł w żałośnie niepewny sposób. Niestety nie jest to idealny świat, a TrueDialog zachowuje się tak, jakby nic się nie wydarzyło.