Εκατομμύρια μηνύματα SMS που εκτίθενται στην ασφάλεια βάσεων δεδομένων παραγράφονται

Εκατομμύρια μηνύματα SMS που εκτίθενται στην ασφάλεια βάσεων δεδομένων παραγράφονται


Η μαζική βάση δεδομένων που αποθηκεύει δεκάδες εκατομμύρια μηνυμάτων κειμένου SMS τα περισσότερα από τα οποία στέλνονταν από επιχειρήσεις σε πιθανούς πελάτες, βρέθηκε ηλεκτρονικά

Η βάση δεδομένων είναι ένας πάροχος υπηρεσιών SMS για επιχειρήσεις και φορείς παροχής τριτοβάθμιας εκπαίδευσης, που επιτρέπει σε εταιρείες, κολέγια και πανεπιστήμια να στέλνουν μαζικά μηνύματα κειμένου στους πελάτες και τους σπουδαστές τους. Η εταιρεία που εδρεύει στο Ώστιν, στο Τέξας, λέει ότι ένα από τα πλεονεκτήματα της υπηρεσίας είναι ότι οι παραλήπτες μπορούν επίσης να δημιουργήσουν κείμενο πίσω, επιτρέποντάς τους να έχουν αμφίδρομες συνομιλίες με μάρκες ή επιχειρήσεις.

Η βάση δεδομένων αποθηκεύει τα χρόνια αποστολής και λήψης μηνυμάτων κειμένου από πελάτες της και επεξεργάζεται από TrueDialog. Αλλά επειδή η βάση δεδομένων παρέμεινε απροστάτευτη στο διαδίκτυο χωρίς κωδικό πρόσβασης, κανένα από τα δεδομένα δεν ήταν κρυπτογραφημένο και ο καθένας θα μπορούσε να κοιτάξει μέσα.

Οι ερευνητές ασφαλείας Noam Rotem και Ran Locar βρήκαν

Η TechCrunch εξέτασε ένα μέρος των δεδομένων, το οποίο περιείχε λεπτομερή αρχεία καταγραφής μηνυμάτων που αποστέλλονται από πελάτες που χρησιμοποίησαν το σύστημα TrueDialog, συμπεριλαμβανομένων των αριθμών τηλεφώνου και των περιεχομένων μηνυμάτων SMS. Η βάση δεδομένων περιείχε, μεταξύ άλλων, πληροφορίες σχετικά με τις εφαρμογές πανεπιστημιακής χρηματοδότησης, τα μηνύματα μάρκετινγκ από επιχειρήσεις με κωδικούς έκπτωσης και τις ειδοποιήσεις εργασίας

. Ωστόσο, τα δεδομένα περιείχαν επίσης ευαίσθητα μηνύματα κειμένου, όπως κωδικούς δύο παραγόντων και άλλα μηνύματα ασφαλείας. έχουν επιτρέψει σε κάποιον που βλέπει τα δεδομένα να έχει πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου ενός ατόμου. Πολλά από τα μηνύματα που εξετάσαμε περιείχαν κωδικούς για πρόσβαση σε ιατρικές υπηρεσίες στο διαδίκτυο, καθώς και κωδικούς επαναφοράς κωδικού πρόσβασης και κωδικούς πρόσβασης για ιστότοπους όπως οι λογαριασμοί Facebook και Google

Τα δεδομένα περιείχαν επίσης ονόματα χρηστών και κωδικούς πρόσβασης των πελατών της TrueDialog.

Επειδή ορισμένες συζητήσεις αμφίδρομων μηνυμάτων περιέχουν έναν μοναδικό κωδικό συνομιλίας, είναι δυνατή η ανάγνωση ολόκληρων αλυσίδων συνομιλιών. Μόνο ένας πίνακας είχε δεκάδες εκατομμύρια μηνύματα, πολλοί από τους οποίους ήταν αποδέκτες μηνυμάτων που προσπαθούσαν να αποφύγουν τη λήψη μηνυμάτων κειμένου.

Η TechCrunch επικοινώνησε με την TrueDialog σχετικά με την έκθεση, η οποία έφερε αμέσως τη βάση δεδομένων εκτός σύνδεσης. Παρά το γεγονός ότι επέστρεψε αρκετές φορές, ο διευθύνων σύμβουλος της TrueDialog John Wright δεν θα αναγνώριζε την παραβίαση ούτε θα επιστρέψει αρκετά αιτήματα για σχόλια. Ο Wright δεν απάντησε σε καμία από τις ερωτήσεις μας, μεταξύ άλλων αν η εταιρεία θα ενημερώνει τους πελάτες για την καθυστέρηση της ασφάλειας και αν σκοπεύει να ενημερώσει τους ρυθμιστές, όπως οι γενικοί εισαγγελείς, κατά νόμους περί κοινοποίησης παραβιάσεων δεδομένων

πολλών παρόχων SMS που έχουν τους τελευταίους μήνες αφήσει συστήματα – και ευαίσθητα μηνύματα κειμένου – στο διαδίκτυο για οποιονδήποτε έχει πρόσβαση. Δεν είναι μόνο αυτό, αλλά είναι ένα άλλο παράδειγμα γιατί τα μηνύματα κειμένου SMS μπορεί να είναι βολικά, αλλά δεν είναι ένας ασφαλής τρόπος επικοινωνίας – ειδικά για ευαίσθητα δεδομένα, όπως την αποστολή κωδικών δύο παραγόντων

Διαβάστε περισσότερα:

>Μεταφρασμένο από την Google <
Source link

Αφήστε ένα σχόλιο

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.