Исследователи в области безопасности обнаружили огромную базу данных, которая была оставлена открытой в Интернете, которая содержит десятки миллионов текстовых сообщений SMS, отправляемых компаниями потенциальным клиентам.
База данных управляется бизнес-провайдером SMS под названием TrueDialog, который позволяет организациям и колледжам отправлять массовые текстовые сообщения своим клиентам и студентам. Однако служба также предоставляет получателям этих сообщений возможность отправлять сообщения, чтобы они могли вести двустороннюю беседу с этими предприятиями.
База данных TrueDialog содержала SMS-сообщения за многие годы, которые были отправлены и получены его клиентами. Поскольку база данных оставалась незащищенной в сети без пароля, любой мог просматривать эти сообщения, которые также не были зашифрованы.
Первоначальное обнаружение открытой базы данных было сделано Ноамом Ротемом и Раном Локаром из исследовательской группы vpnMentor.
Содержимое базы данных
Изучив часть представленных данных, TechCrunch обнаружил, что в них содержатся подробные журналы сообщений, отправленных клиентами, использующими систему TrueDialog, включая их номера телефонов и содержимое их сообщений.
Сама база данных содержала маркетинговые сообщения от предприятий, оповещения о вакансиях и другие предложения, рассылаемые клиентам, но в ней также хранились конфиденциальные текстовые сообщения, такие как коды двухфакторной аутентификации и сообщения безопасности. Используя информацию, содержащуюся в этих сообщениях, любой мог потенциально попытаться получить доступ к учетным записям пользователей в Интернете.
Данные также содержали имена пользователей и пароли собственных клиентов TrueDialog, которые также могли быть использованы для доступа к их учетным записям и выдавать себя за них.
Еще одним поразительным открытием стало то, что в некоторых двусторонних сообщениях сообщений содержался уникальный код разговора. Используя этот код, любой мог прочитать цепочки разговоров между предприятиями и их клиентами.
Это только последний случай, когда база данных остается незащищенной в сети, но также показывает, что текстовые сообщения SMS не являются безопасным способом отправки конфиденциальных данных, таких как коды двухфакторной аутентификации.
Источник: