Миллионы SMS-сообщений - некоторые из которых содержали коды входа и аутентификации - были выставлены
В прошлом мы говорили о том, что использование текстовых сообщений в качестве средства передачи конфиденциальной информации не очень хорошая идея. Технология SMS-сообщений слишком устарела, а растущая популярность обмена SIM-картами делает эту форму связи непригодной для таких вещей, как коды 2FA. На прошлой неделе Ноам Ротем и Ран Локар узнали, что SMS-сообщения могут предоставлять данные и в других сценариях.
Люди, интересующиеся новостями о кибербезопасности, признают Rotem и Locar людьми, возглавляющими команду исследователей из VPN Mentor. Последние несколько месяцев они работали над проектом веб-картографирования, призванным «сделать Интернет безопаснее для всех пользователей». Эксперты делают это, идентифицируя серверы и базы данных, которые предоставляют конфиденциальную информацию, и они были ответственны за обнаружение нескольких огромных утечек. 26 ноября они нашли другого.
Table of Contents
Поставщик SMS-решений оставляет десятки миллионов текстовых сообщений в открытой базе данных.
В прошлый вторник Rotem и Locar обнаружили базу данных Elasticsearch, которая была размещена в Microsoft Azure и работала в Oracle Marketing Cloud. В нем содержалось около 1 миллиарда записей, содержащих в общей сложности 604 ГБ информации, и эксперты быстро поняли, что она была создана TrueDialog, компанией, предоставляющей различные SMS-услуги для предприятий по всему миру.
Кто-то из TrueDialog поместил все эти записи в базу данных, доступную через Интернет, а затем забыл защитить их паролем. В результате, хотя установки Elasticsearch обычно не доступны через браузер, исследователям удалось не только найти их, но и отсканировать их с помощью URL-манипуляции.
Среди представленных записей Rotem и Locar обнаружили десятки миллионов текстовых сообщений, отправленных конечным пользователям с помощью услуг TrueDialog. База данных раскрывает не только содержание сообщений, но также их временные метки и номера телефонов получателей. По словам Зака Уиттекера из TechCrunch, который также видел данные, большинство открытых SMS-сообщений содержали оповещения о вакансиях, маркетинговые и другие относительно несущественные сообщения, но были также тексты, содержащие двухфакторные коды и коды входа, в том числе для медицинских услуг в Интернете и такие сайты, как Facebook и Google. К сожалению, это далеко не единственная часть секретной информации, которая была раскрыта.
TrueDialog также раскрыл множество учетных данных
В дополнение к текстовым сообщениям Rotem и Locar также нашли миллионы адресов электронной почты, имен пользователей и паролей. Некоторые пароли хранились в виде открытого текста, в то время как остальные были закодированы с помощью Base64, что смехотворно легко перевернуть. Все они принадлежали клиентам TrueDialog, которые могли получить большой ущерб в результате воздействия. К сожалению, ничего не подозревающие конечные пользователи также подвергаются риску.
Сотни тысяч записей содержали личные данные, принадлежащие реальным лицам, включая имена, физические адреса и адреса электронной почты, номера телефонов и т. Д. К сожалению, эксперты не могут сказать, сколько пользователей было затронуто из-за проблемы с функцией поиска в базе данных. Однако, согласно Rotem и Locar, SMS-решения TrueDialog могут отправлять текстовые сообщения до 5 миллиардов подписчиков, и вы, вероятно, можете представить, что произойдет, если даже небольшая часть этих людей в конечном итоге представит свои данные.
TrueDialog прячет голову в песок
Как и следовало ожидать, Ноам Ротем и Ран Локар попытались связаться с TrueDialog сразу же после того, как обнаружили обнаруженную базу данных. Менее чем за сутки неправильно настроенная установка Elasticsearch была переведена в автономный режим, и утечка была устранена. Реакция была действительно быстрой, но в целом TrueDialog может служить примером того, как не реагировать на инцидент безопасности данных.
Компания не смогла ответить на электронные письма Ротема и Локара и продолжала молчать даже после того, как Зак Уиттакер попытался связаться. Объем данных, которые были раскрыты, значителен, и хотя нет свидетельств того, что кто-то активно злоупотребляет ими, ущерб, который он может нанести, огромен. Утечка была вызвана ошибкой конфигурации, и в идеальном мире компания, ответственная за нее, постаралась быть максимально прозрачной в отношении того, что произошло и что было сделано, чтобы пользователи больше не попадали в ту же ситуацию. В идеальном мире указанная компания также не будет хранить пароли крайне печально. К сожалению, это не идеальный мир, и TrueDialog ведет себя так, как будто ничего не произошло.