Miljoner SMS-meddelanden - av vilka några har inloggnings- och verifieringskoder - har blivit exponerade

Millions of SMS Messages Exposed

Vi har tidigare pratat om hur det inte är särskilt bra att använda textmeddelanden som ett sätt att överföra känslig information. Tekniken bakom SMS-meddelanden är helt enkelt för gammal, och den ökande populariteten för SIM-byte gör denna form av kommunikation olämplig för saker som 2FA-koder. Förra veckan fick Noam Rotem och Ran Locar veta att sms-filer kan exponera data också i andra scenarier.

Personer som är intresserade av nyheter om cybersäkerhet kommer att känna igen Rotem och Locar som de personer som leder ett team av forskare från VPN Mentor. Under de senaste månaderna har de arbetat med ett webbkartläggningsprojekt för att "göra internet säkrare för alla användare". Experterna gör detta genom att identifiera servrar och databaser som exponerar känslig information, och de har varit ansvariga för upptäckten av några enorma läckor. Den 26 november hittade de en annan.

En leverantör av SMS-lösningar lämnar tiotals miljoner textmeddelanden i en exponerad databas

Förra tisdagen upptäckte Rotem och Locar en Elasticsearch-databas som var värd av Microsoft Azure och kördes på Oracle Marketing Cloud. Det innehöll nästan 1 miljard poster med totalt 604 GB information, och experterna insåg snabbt att det sattes upp av TrueDialog, ett företag som tillhandahöll olika SMS-tjänster till företag över hela världen.

Någon på TrueDialog placerade alla dessa poster i en databas mot internet och glömde sedan att säkra dem med ett lösenord. Som ett resultat, även om Elasticsearch-installationer vanligtvis inte är tillgängliga via en webbläsare, lyckades forskarna inte bara hitta dem utan också skanna igenom dem med hjälp av URL-manipulering.

Bland de exponerade posterna hittade Rotem och Locar tiotals miljoner textmeddelanden som skickades till slutanvändare med hjälp av TrueDialogs tjänster. Databasen avslöjade inte bara innehållet i meddelandena utan också deras tidsstämplar och mottagarnas telefonnummer. Enligt TechCrunchs Zack Whittaker, som också har sett informationen, innehöll de flesta av de exponerade SMS: erna jobb, marknadsföring och andra relativt obekräftade meddelanden, men det fanns också texter som hade tvåfaktors- och inloggningskoder, inklusive sådana för onlinemedicinska tjänster och webbplatser som Facebook och Google. Tyvärr är dessa långt ifrån de enda känsliga uppgifterna som blivit exponerade.

TrueDialog avslöjade också många inloggningsuppgifter

Förutom textmeddelandena hittade Rotem och Locar också miljontals e-postadresser, användarnamn och lösenord. Vissa lösenord lagrades i klartext medan resten kodades med Base64, vilket är löjligt lätt att vända. Dessa tillhörde TrueDialog-kunder som kunde ha orsakat mycket skada till följd av exponeringen. Tyvärr riskerade inte intetanande slutanvändare.

Hundratusentals poster innehöll personuppgifter som tillhörde verkliga individer, inklusive namn, fysiska adresser och e-postadresser, telefonnummer etc. Tyvärr kan inte experterna säga hur många användare som drabbades på grund av problem med databasens sökfunktion. Enligt Rotem och Locar kan TrueDialogs SMS-lösningar emellertid skicka texter till så mycket som 5 miljarder prenumeranter, och du kan förmodligen föreställa dig vad som skulle hända om till och med en liten del av dessa människor skulle sluta med att deras data exponeras.

TrueDialog begravde huvudet i sanden

Som du kan förvänta dig försökte Noam Rotem och Ran Locar komma i kontakt med TrueDialog omedelbart efter att de upptäckte den exponerade databasen. Inom mindre än en dag togs den felkonfigurerade Elasticsearch-installationen offline och läckan var säkrad. Reaktionen var verkligen snabb, men totalt sett kan TrueDialog tjäna som ett exempel på hur man inte ska svara på en datasäkerhetshändelse.

Företaget svarade inte på Rotem och Locars e-postmeddelanden och det förblev tyst även efter att Zack Whittaker försökte komma i kontakt. Volymen av data som exponerades är betydande, och även om det inte finns några bevis för att någon aktivt missbrukar den, är skadan den kan orsaka enorm. Läckan utlöste av ett konfigurationsfel, och i en idealvärld skulle företaget som ansvarar för det försöka vara så transparent som möjligt om vad som hände och vad som har gjorts för att säkerställa att användare inte hamnar i samma situation igen. I en idealvärld skulle det nämnda företaget inte lagra lösenord på ett sorgligt osäkert sätt heller. Tyvärr är detta inte en idealvärld, och TrueDialog agerar som om ingenting har hänt.

December 2, 2019
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.