数百万条SMS消息（其中一些包含登录名和验证码）已被公开

过去我们讨论过如何将文本消息用作传输敏感信息的方法不是一个好主意。 SMS消息背后的技术太老了， SIM卡交换的日益普及使这种通信形式不适用于2FA代码。上周，Noam Rotem和Ran Locar发现SMS也可以在其他情况下公开数据。

对网络安全新闻感兴趣的人们将认识到Rotem和Locar是领导VPN Mentor研究团队的人们。在过去的几个月中，他们一直在从事旨在“使所有用户的互联网更加安全”的网络映射项目。专家通过识别暴露敏感信息的服务器和数据库来做到这一点，并且他们负责发现一些巨大的漏洞 。 11月26日，他们找到了另一个。

SMS解决方案提供商在公开的数据库中留下了数千万条短信

上周二，Rotem和Locar 发现了一个由Microsoft Azure托管并在Oracle Marketing Cloud上运行的Elasticsearch数据库。它保存了将近10亿条条目，其中包含总共604 GB的信息，专家们很快意识到，它是由TrueDialog成立的，TrueDialog是一家为世界各地的企业提供各种SMS服务的公司。

TrueDialog上的某个人将所有这些条目都放置在面向Internet的数据库中，然后忘记使用密码保护它们。结果，尽管通常无法通过浏览器访问Elasticsearch安装，但是研究人员不仅设法找到它们，还借助URL操作来扫描它们。

在公开的记录中，Rotem和Locar借助TrueDialog的服务定位了发送给最终用户的数千万条短信。数据库不仅显示消息的内容，还显示消息的时间戳和收件人的电话号码。据TechCrunch的Zack Whittaker看到的数据，大多数暴露的SMS包含工作警报，市场营销和其他相对无关紧要的消息，但也有带有两因素和登录代码的文本，包括用于在线医疗服务的代码和登录代码。 Facebook和Google等网站。不幸的是，这些远不是暴露的唯一敏感信息。

TrueDialog也公开了很多登录凭据

除了文字消息，Rotem和Locar还发现了数百万个电子邮件地址，用户名和密码。一些密码以明文形式存储，而其余密码则采用Base64编码，这很容易被撤销。这些都属于TrueDialog客户，他们可能会由于暴露而遭受很多损失。不幸的是，毫无戒心的最终用户也面临风险。

数十万条记录包含属于真实个人的个人数据，包括姓名，实际和电子邮件地址，电话号码等。不幸的是，由于数据库的搜索功能存在问题，专家无法说出有多少用户受到了影响。但是，根据Rotem和Locar的说法，TrueDialog的SMS解决方案可以将文本发送给多达50亿的订户，您可以想象，即使只有一小部分人最终暴露了他们的数据，也会发生什么。

TrueDialog将头埋在沙子里

如您所料，Noam Rotem和Ran Locar在发现公开的数据库后立即尝试与TrueDialog联系。在不到一天的时间内，配置错误的Elasticsearch安装被脱机，从而确保了泄漏的安全。反应确实很快，但是总的来说，TrueDialog可以作为不响应数据安全事件的示例。

该公司未能回复Rotem和Locar的电子邮件，即使Zack Whittaker试图取得联系，它仍然保持沉默。公开的数据量很大，尽管没有证据表明有人在积极滥用它，但它可能造成的破坏是巨大的。泄漏是由配置错误触发的，在理想情况下，负责此泄漏的公司将尽力使所发生的事情和所做的事情尽可能透明，以确保用户不会再次遇到相同的情况。在理想的情况下，该公司也不会以非常不安全的方式存储密码。不幸的是，这不是一个理想的世界，TrueDialog的运行好像什么都没有发生。