數百萬條SMS消息（其中一些包含登錄名和驗證碼）已被公開

過去我們討論過如何將文本消息用作傳輸敏感信息的方法不是一個好主意。 SMS消息背後的技術太老了， SIM卡交換的日益普及使這種通信形式不適用於2FA代碼。上週，Noam Rotem和Ran Locar發現SMS也可以在其他情況下公開數據。

對網絡安全新聞感興趣的人們將認識到Rotem和Locar是領導VPN Mentor研究團隊的人們。在過去的幾個月中，他們一直在從事旨在“使所有用戶的互聯網更加安全”的網絡映射項目。專家通過識別暴露敏感信息的服務器和數據庫來做到這一點，並且他們負責發現一些巨大的漏洞 。 11月26日，他們找到了另一個。

SMS解決方案提供商在公開的數據庫中留下了數千萬條短信

上週二，Rotem和Locar 發現了一個由Microsoft Azure託管並在Oracle Marketing Cloud上運行的Elasticsearch數據庫。它保存了近10億條條目，其中包含總計604 GB的信息，專家們很快意識到，它是由TrueDialog公司提供的，TrueDialog公司為世界各地的企業提供各種SMS服務。

TrueDialog上的某個人將所有這些條目都放置在面向Internet的數據庫中，然後忘記使用密碼保護它們。結果，儘管通常無法通過瀏覽器訪問Elasticsearch安裝，但是研究人員不僅設法找到它們，還借助URL操作來掃描它們。

在公開的記錄中，Rotem和Locar借助TrueDialog的服務定位了發送給最終用戶的數千萬條短信。數據庫不僅顯示消息的內容，還顯示消息的時間戳和收件人的電話號碼。據TechCrunch的Zack Whittaker看到的數據，大部分暴露的SMS包含工作警報，市場營銷和其他相對無關緊要的消息，但也有帶有兩因素和登錄代碼的文本，包括用於在線醫療服務和登錄代碼的文本。 Facebook和Google等網站。不幸的是，這些遠不是暴露的唯一敏感信息。

TrueDialog也公開了很多登錄憑據

除了文字消息，Rotem和Locar還發現了數百萬個電子郵件地址，用戶名和密碼。一些密碼以明文形式存儲，而其餘密碼則採用Base64編碼，這很容易被撤銷。這些都屬於TrueDialog客戶，他們可能會由於暴露而遭受很多損失。不幸的是，毫無戒心的最終用戶也面臨風險。

數十萬條記錄包含屬於真實個人的個人數據，包括姓名，實際和電子郵件地址，電話號碼等。不幸的是，由於數據庫的搜索功能存在問題，專家無法說出有多少用戶受到了影響。但是，根據Rotem和Locar的說法，TrueDialog的SMS解決方案可以將文本發送給多達50億的訂戶，您可以想像，即使只有一小部分人最終暴露了他們的數據，也會發生什麼。

TrueDialog將頭埋在沙子裡

如您所料，Noam Rotem和Ran Locar在發現公開的數據庫後立即嘗試與TrueDialog聯繫。在不到一天的時間內，配置錯誤的Elasticsearch安裝被脫機，從而確保了洩漏的安全。反應確實很快，但是總的來說，TrueDialog可以作為不響應數據安全事件的示例。

該公司未能回复Rotem和Locar的電子郵件，即使Zack Whittaker試圖取得聯繫，它仍然保持沉默。公開的數據量很大，儘管沒有證據表明有人在積極濫用它，但它可能造成的破壞是巨大的。洩漏是由配置錯誤觸發的，在理想情況下，負責此洩漏的公司將盡力使所發生的事情和所做的事情盡可能透明，以確保用戶不會再次遇到相同的情況。在理想的情況下，該公司也不會以非常不安全的方式存儲密碼。不幸的是，這不是一個理想的世界，TrueDialog的運行好像什麼都沒有發生。