Milhões de mensagens SMS - algumas das quais continham códigos de login e autenticação - foram expostas

Millions of SMS Messages Exposed

Conversamos no passado sobre como o uso de mensagens de texto como meio de transferência de informações confidenciais não é uma ideia muito boa. A tecnologia por trás das mensagens SMS é simplesmente muito antiga, e a crescente popularidade da troca de SIM torna essa forma de comunicação inadequada para coisas como códigos 2FA. Na semana passada, Noam Rotem e Ran Locar descobriram que os SMSs também podem expor dados em outros cenários.

Os interessados em notícias sobre segurança cibernética reconhecerão o Rotem e o Locar como líderes de uma equipe de pesquisadores do VPN Mentor. Nos últimos meses, eles têm trabalhado em um projeto de mapeamento da web desenvolvido para "tornar a Internet mais segura para todos os usuários". Os especialistas estão fazendo isso identificando servidores e bancos de dados que expõem informações confidenciais e foram responsáveis pela descoberta de alguns vazamentos enormes. Em 26 de novembro, eles encontraram outro.

Um provedor de soluções SMS deixa dezenas de milhões de mensagens de texto em um banco de dados exposto

Na terça-feira passada, Rotem e Locar descobriram um banco de dados Elasticsearch hospedado pelo Microsoft Azure e executado no Oracle Marketing Cloud. Ele continha cerca de 1 bilhão de entradas contendo um total de 604 GB de informações, e os especialistas rapidamente perceberam que ela foi apresentada pela TrueDialog, uma empresa que fornece vários serviços de SMS para empresas em todo o mundo.

Alguém no TrueDialog colocou todas essas entradas em um banco de dados voltado para a Internet e depois esqueceu de protegê-las com uma senha. Como resultado, embora as instalações do Elasticsearch geralmente não sejam acessíveis por meio de um navegador, os pesquisadores conseguiram não apenas encontrá-las, mas também verificá-las com a ajuda da manipulação de URL.

Entre os registros expostos, Rotem e Locar localizaram dezenas de milhões de mensagens de texto enviadas aos usuários finais com a ajuda dos serviços da TrueDialog. O banco de dados revelou não apenas o conteúdo das mensagens, mas também seus carimbos de data e hora e os números de telefone dos destinatários. De acordo com Zack Whittaker, do TechCrunch, que também viu os dados, a maioria dos SMSs expostos continha alertas de trabalho, marketing e outras mensagens relativamente irrelevantes, mas também havia textos que carregavam códigos de dois fatores e de login, incluindo os de serviços médicos on-line e sites como o Facebook e o Google. Infelizmente, essas estão longe de ser as únicas informações sensíveis que foram expostas.

TrueDialog expôs muitas credenciais de login também

Além das mensagens de texto, o Rotem e o Locar também encontraram milhões de endereços de email, nomes de usuário e senhas. Algumas senhas foram armazenadas em texto sem formatação, enquanto as demais foram codificadas com Base64, o que é ridiculamente fácil de reverter. Todos estes pertenciam a clientes TrueDialog, que poderiam ter sofrido muitos danos como resultado da exposição. Infelizmente, usuários finais inocentes também foram colocados em risco.

Centenas de milhares de registros continham dados pessoais pertencentes a indivíduos reais, incluindo nomes, endereços físicos e de email, números de telefone etc. Infelizmente, os especialistas não sabem dizer quantos usuários foram afetados devido a um problema com a funcionalidade de pesquisa do banco de dados. De acordo com Rotem e Locar, no entanto, as soluções de SMS da TrueDialog podem enviar textos para até 5 bilhões de assinantes, e você provavelmente pode imaginar o que aconteceria se mesmo uma pequena parte dessas pessoas terminasse com os dados expostos.

TrueDialog enterra a cabeça na areia

Como seria de esperar, Noam Rotem e Ran Locar tentaram entrar em contato com TrueDialog imediatamente após descobrirem o banco de dados exposto. Em menos de um dia, a instalação mal configurada do Elasticsearch foi colocada offline e o vazamento foi protegido. A reação foi realmente rápida, mas no geral, o TrueDialog pode servir como um exemplo de como não responder a um incidente de segurança de dados.

A empresa não respondeu aos e-mails de Rotem e Locar e permaneceu em silêncio mesmo depois que Zack Whittaker tentou entrar em contato. O volume de dados expostos é significativo e, embora não haja evidências de alguém abusando ativamente, os danos que eles podem causar são enormes. O vazamento foi desencadeado por um erro de configuração e, em um mundo ideal, a empresa responsável por isso tentaria ser o mais transparente possível sobre o que aconteceu e o que foi feito para garantir que os usuários não voltem à mesma situação. Em um mundo ideal, a empresa citada também não armazenaria senhas de uma maneira extremamente insegura. Infelizmente, este não é um mundo ideal e o TrueDialog está agindo como se nada tivesse acontecido.

Por Duran
December 2, 2019
News
Portuguese
December 2, 2019
News

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.