Изтекоха милиони корпоративни SMS-и в интернет пространството

0
429

Изследователи по сигурността откриха изтекла масивна база данни, която е циркулирала свободно в интернет пространството, съдържаща десетки милиони текстови съобщения (SMS), изпратени от различни предприятия до техните клиенти и потребители.

Базата данни се управлява и принадлежи на популярния SMS бизнес доставчик, наречен TrueDialog, който позволява на организации и институции да изпращат групови текстови съобщения до своите клиенти и абонати. Услугата реално представлява интернет базирана услуга за разпращане на текстови съобщения, която дава възможност на компаниите да комуникират лесно с клиентите си чрез SMS, а те от своя страна да имат възможност да изпращат обратен отговор, който да бъде видим, с което се осъществява реална комуникация.

Базата данни на True Dialog съдържа пълна информация за всички SMS съобщения изпратени и получени от нейните клиенти през годината. Тъй като базата данни беше оставена незащитена онлайн без никакво обезпечение с парола или друго средство за сигурност, всеки може да проникне в нея и да разгледа тези съобщения, които също не са шифровани или криптирани по никакъв начин.

Първоначалното откритие на базата данни беше направено от Наем Ротем и Ран Локарт от изследователския екип по сигурността vpnMentor.

Какво съдържа базата данни?

След като са разгледали част от изложените данни, от популярния технологичен портал TechCrunch са установили, че в масива се съдържат подробни дневници от съобщения, изпращани от клиенти, които използват системата на TrueDialog, включително техните телефонни номера и текстовата информация, изпращана в SMS-ите.

Самата база данни съдържа маркетингови и рекламни съобщения от фирми, сигнали по сигурността на личните клиентски профили и други оферти, изпращани на клиентите, но също така една сериозна част от изтеклите съобщения съдържа чувствителна информация като например ключове за двуфакторни кодове за удостоверяване и съобщения за сигурност. Използвайки информацията, съдържаща се в тези съобщения, всеки потенциално би могъл да се опита да получи неправомерен достъп до онлайн акаунтите на потребителите.

Данните също са съдържали потребителските имена и паролите на самите фирми клиенти на услугите на TrueDialog, който също биха могли да бъдат използвани да достъп и нанасяне на корпоративни щети.

Друго стряскащо откритие беше фактът, че някои от дискусиите с двупосочни съобщения съдържат уникален идентификационен код на разговора. ИЗползвайки този код, всеки би могъл да може да прочете цели вериги от разговори между бизнеса и техните клиенти – с въвеждането на кода при търсене в базата данни, на практика можете да видите абсолютно всички съобщения, които дружеството е разменило с даден клиент.

Това е само последният случай, в който база данни с чувствителна информация е оставена незащитена онлайн, но също така показва как SMS текстовите съобщения не са сигурен начин за изпращане на чувствителни данни, като двуфакторни кодове за удостоверяване.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за