company_banner

Огромная база SMS TrueDialog оказалась в открытом доступе

Автор оригинала: Zack Whittaker
  • Перевод
Примечание: только пару дней назад IT-компании поздравляли клиентов, партнеров и всех сопричастных с Международным днем защиты информации, а уже появилась новость об очередной серьезной утечке — в базе содержались коды двухфакторной аутентификации, ключи доступа и многое другое. Делимся с вами переводом статьи с TechCrunch.


/ Photo by Jon Moore on Unsplash

На просторах сети обнаружили гигантскую базу данных с десятками миллионов SMS-сообщений, большинство из которых были отправлены компаниями потенциальным покупателям.

База данных находилась в собственности TrueDialog, SMS-провайдера для бизнеса и высших учебных заведений, который позволяет компаниям, колледжам и университетам создавать массовые рассылки покупателям и студентам. По заявлениям компании, одним из преимуществ сервиса является возможность для получателя послать ответное сообщение, что позволяет бизнесу вести двустороннюю беседу со своей аудиторией.

Утекшая база данных содержит в себе текстовые сообщения, которые на протяжении нескольких лет отправлялись и получались клиентами компаний через TrueDialog. Но из-за того, что база данных хранилась в интернете без какой-либо защиты, пароля и шифрования, получить к ней доступ мог любой пользователь.

Специалисты по безопасности Ноам Ротем и Ран Локар обнаружили утекшую базу данных ранее в этом месяце в рамках проекта по сканированию интернета. Часть данных, исследованная TechCrunch, содержит подробные логи сообщений клиентов, использовавших TrueDialog, включая номера телефонов и содержимое SMS. Помимо всего прочего, база данных содержит информацию о финансовых приложениях университетов, рекламные сообщения с кодами на скидки и вакансии.

В базе есть также крайне чувствительные данные: сообщения с кодами двухфакторной аутентификации и другие уведомления безопасности, которые потенциально могли дать возможность злоумышленникам получить контроль над чьими-то аккаунтами. Многие сообщения содержали ключи доступа к медицинским онлайн-сервисам, а также коды для сброса паролей и входа на такие порталы как Facebook и Google.

Также в базе данных хранятся имена пользователей и пароли клиентов TrueDialog, которые могут быть использованы для получения доступа к их аккаунтам и раскрытию тайны их личностей. С помощью уникальных кодов бесед, содержащихся в SMS-диалогах, можно было получить доступ к полной переписке. Одна из таблиц в базе включала десятки миллионов SMS, многие из которых принадлежали лицам, желающим отписаться от получения сообщений.

TechCrunch удалось связаться с TrueDialog по поводу утечки, после чего база данных моментально оказалась оффлайн. Несмотря на то, что несколько раз удавалось установить связь с исполнительным директором TrueDialog Джоном Райтом, он не дал никаких комментариев и отказался признавать факт утечки. Также Райт не ответил ни на один из вопросов TechCrunch — даже том, будет ли компания информировать своих клиентов о нарушении безопасности и планируется ли уведомить регулирующие органы, например, генеральных прокуроров штатов.

TrueDialog — всего один из множества SMS-провайдеров, которые в последние месяцы выставляли чувствительные данные на показ всему интернету. Не является ли это еще одним примером того, что SMS, несмотря на удобство их использования, не являются безопасным способом коммуникации? В частности, если это касается таких чувствительных данных, как коды двухфакторной аутентификации.
ИТ-ГРАД
82,30
vmware iaas provider
Поделиться публикацией

Комментарии 0

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое