Badacze bezpieczeństwa odkryli ogromną bazę danych, udostępnioną online, zawierającą dziesiątki milionów wiadomości SMS wysyłanych przez firmy do potencjalnych klientów. Baza danych jest zarządzana przez korporacyjnego dostawcę usług SMS o nazwie TrueDialog, który umożliwia organizacjom i uniwersytetom masowe wysyłanie wiadomości tekstowych do klientów i studentów. Jednak usługa oferuje również odbiorcom tych wiadomości możliwość wysyłania wiadomości, aby mogli rozmawiać tam iz powrotem z tymi firmami. Baza danych TrueDialog zawierała kilkuletnie wiadomości SMS wysyłane i odbierane przez jej klientów. Ponieważ baza danych pozostała niezabezpieczona w trybie online bez hasła, każdy mógł przeglądać te niezaszyfrowane wiadomości. Pierwszego odkrycia ujawnionej bazy danych dokonali Noam Rotem i Ran Locar z zespołu badawczego vpnMentor.
Zawartość bazy danych.
Po przejrzeniu niektórych ujawnionych danych TechCrunch odkrył, że dane zawierały szczegółowe zapisy wiadomości wysłanych przez klientów TrueDialog, w tym ich numery telefonów i treść ich wiadomości. Baza danych zawierała korporacyjne wiadomości marketingowe, powiadomienia o ofertach pracy i inne oferty wysyłane do klientów, ale jednocześnie zawierała również wrażliwe wiadomości tekstowe, takie jak kody uwierzytelniające. Dwa czynniki i komunikaty dotyczące bezpieczeństwa. Korzystając z informacji zawartych w tych wiadomościach, każdy mógł próbować uzyskać dostęp do kont internetowych użytkowników. Dane zawierały również nazwy użytkowników i hasła własnych klientów TrueDialog, które również mogły zostać wykorzystane do uzyskania dostępu do ich kont i podszywania się pod nie. Kolejnym zaskakującym odkryciem było to, że niektóre z dwukierunkowych rozmów zawierały unikalny kod konwersacji. Za pomocą tego kodu każdy mógł przeczytać całe wątki rozmów między firmami a ich klientami. To tylko najnowszy przypadek braku ochrony bazy danych online, ale pokazuje również, że wiadomości tekstowe SMS nie zapewniają bezpiecznego sposobu wysyłania poufnych danych, takich jak kody uwierzytelniania dwuskładnikowego. Przez TechCrunch