Исследователи безопасности обнаружили огромную базу данных, оставленную в Интернете и содержащую десятки миллионов SMS-сообщений, отправленных компаниями потенциальным клиентам. База данных управляется корпоративным поставщиком SMS под названием TrueDialog, который позволяет организациям и университетам рассылать массовые текстовые сообщения своим клиентам и студентам. Однако служба также предлагает получателям этих сообщений возможность отправлять сообщения, чтобы они могли общаться с этими компаниями туда и обратно. База данных TrueDialog содержала SMS-сообщения, отправленные и полученные ее клиентами за несколько лет. Поскольку база данных оставалась незащищенной в сети без пароля, любой мог просмотреть эти незашифрованные сообщения. Первоначальное обнаружение открытой базы данных было сделано Ноамом Ротемом и Раном Локаром из исследовательской группы vpnMentor.
Содержимое базы данных.
Изучив некоторые из предоставленных данных, TechCrunch обнаружил, что данные содержат подробные записи сообщений, отправленных клиентами TrueDialog, включая их номера телефонов и содержание их сообщений. База данных содержала корпоративные маркетинговые сообщения, оповещения о вакансиях и другие предложения, отправленные клиентам, но в то же время хранила конфиденциальные текстовые сообщения, такие как коды аутентификации. Два фактора и сообщения о безопасности. Используя информацию, содержащуюся в этих сообщениях, кто угодно мог попытаться получить доступ к онлайн-аккаунтам пользователей. Данные также содержали имена пользователей и пароли собственных клиентов TrueDialog, которые также могли быть использованы для доступа к их учетным записям и выдачи себя за них. Еще одним удивительным открытием стало то, что некоторые двусторонние сообщения содержали уникальный код разговора. Используя этот код, любой мог прочитать целые цепочки разговоров между компаниями и их клиентами. Это лишь последний случай, когда база данных не защищена в Интернете, но он также показывает, что текстовые сообщения SMS не обеспечивают безопасный способ отправки конфиденциальных данных, таких как коды двухфакторной аутентификации. Через TechCrunch