Miliony wiadomości SMS - niektóre z nich zawierały kody logowania i uwierzytelnienia - zostały ujawnione

Millions of SMS Messages Exposed

W przeszłości rozmawialiśmy o tym, w jaki sposób używanie wiadomości tekstowych jako środka do przesyłania poufnych informacji nie jest zbyt dobrym pomysłem. Technologia wiadomości SMS jest po prostu za stara, a rosnąca popularność wymiany kart SIM sprawia, że ta forma komunikacji jest nieodpowiednia dla takich kodów, jak kody 2FA. W zeszłym tygodniu Noam Rotem i Ran Locar odkryli, że SMS-y mogą ujawniać dane także w innych scenariuszach.

Osoby zainteresowane wiadomościami z zakresu cyberbezpieczeństwa rozpoznają Rotem i Locar jako osoby kierujące zespołem naukowców z VPN Mentor. W ciągu ostatnich kilku miesięcy pracowali nad projektem mapowania sieci, mającym na celu „uczynienie Internetu bezpieczniejszym dla wszystkich użytkowników”. Eksperci robią to, identyfikując serwery i bazy danych, które ujawniają poufne informacje, i byli odpowiedzialni za odkrycie kilku ogromnych wycieków. 26 listopada znaleźli kolejny.

Dostawca rozwiązań SMS pozostawia dziesiątki milionów wiadomości tekstowych w odsłoniętej bazie danych

W zeszły wtorek Rotem i Locar odkryli bazę danych Elasticsearch, która była hostowana przez Microsoft Azure i działała w Oracle Marketing Cloud. Zawierał prawie 1 miliard wpisów, zawierających łącznie 604 GB informacji, a eksperci szybko zdali sobie sprawę, że została utworzona przez TrueDialog, firmę świadczącą różne usługi SMS dla firm na całym świecie.

Ktoś z TrueDialog umieścił wszystkie te wpisy w internetowej bazie danych, a następnie zapomniał zabezpieczyć je hasłem. W rezultacie, chociaż instalacje Elasticsearch zwykle nie są dostępne za pośrednictwem przeglądarki, badaczom udało się nie tylko je znaleźć, ale także przeskanować je za pomocą manipulacji adresami URL.

Wśród ujawnionych danych Rotem i Locar zlokalizowały dziesiątki milionów wiadomości tekstowych wysyłanych do użytkowników końcowych za pomocą usług TrueDialog. Baza danych ujawniła nie tylko treść wiadomości, ale także ich sygnatury czasowe i numery telefonów odbiorców. Według Zacka Whittakera z TechCruncha, który również widział dane, większość odsłoniętych SMS-ów zawierała alerty o pracy, marketing i inne względnie nieistotne wiadomości, ale były też SMS-y zawierające kody dwuskładnikowe i kody logowania, w tym dla internetowych usług medycznych i strony internetowe takie jak Facebook i Google. Niestety są to dalekie od jedynych poufnych informacji, które zostały ujawnione.

TrueDialog ujawnił również wiele danych logowania

Oprócz wiadomości tekstowych, Rotem i Locar również znalazły miliony adresów e-mail, nazw użytkowników i haseł. Niektóre hasła były przechowywane w postaci zwykłego tekstu, a pozostałe były kodowane przy użyciu Base64, co jest absurdalnie łatwe do odwrócenia. Wszystko to należało do klientów TrueDialog, którzy mogli ponieść duże szkody w wyniku narażenia. Niestety zagrożeni byli także niczego niepodejrzewający użytkownicy końcowi.

Setki tysięcy rekordów zawierały dane osobowe należące do prawdziwych osób, w tym nazwiska, adresy fizyczne i e-mail, numery telefonów itp. Niestety eksperci nie są w stanie powiedzieć, ilu użytkowników dotknęło to z powodu problemu z funkcją wyszukiwania w bazie danych. Jednak według Rotem i Locara rozwiązania SMS TrueDialog mogą wysyłać SMS-y nawet do 5 miliardów subskrybentów, i prawdopodobnie możesz sobie wyobrazić, co by się stało, gdyby nawet niewielka część tych osób ujawniła swoje dane.

TrueDialog chowa głowę w piasek

Jak można się spodziewać, Noam Rotem i Ran Locar próbowali skontaktować się z TrueDialog natychmiast po odkryciu ujawnionej bazy danych. W ciągu niecałego dnia źle skonfigurowana instalacja Elasticsearch została przełączona w tryb offline, a wyciek został zabezpieczony. Reakcja była rzeczywiście szybka, ale ogólnie TrueDialog może służyć jako przykład tego, jak nie reagować na incydent związany z bezpieczeństwem danych.

Firma nie odpowiedziała na e-maile Rotema i Locara i milczała nawet po tym, jak Zack Whittaker próbował się skontaktować. Ilość ujawnionych danych jest znacząca i chociaż nie ma dowodów na to, że ktoś aktywnie je nadużywa, szkody, które może potencjalnie spowodować, są ogromne. Wyciek został spowodowany błędem konfiguracji, a w idealnym świecie firma odpowiedzialna za to starałaby się zachować jak największą przejrzystość co do tego, co się wydarzyło i co zostało zrobione, aby użytkownicy nie znaleźli się ponownie w tej samej sytuacji. W idealnym świecie wspomniana firma również nie przechowywałaby haseł w żałośnie niepewny sposób. Niestety nie jest to idealny świat, a TrueDialog zachowuje się tak, jakby nic się nie wydarzyło.

December 2, 2019
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.