A fost gasita online o baza de date masiva TrueDialog care stocheaza zeci de milioane de mesaje text SMS, cele mai multe fiind trimise de companii catre potentiali clienti.
Baza de date este administrata de TrueDialog, un furnizor de SMS de afaceri pentru companii si furnizori de invatamant superior, care permite companiilor, colegiilor si universitatilor sa trimita mesaje text in masa clientilor si studentilor lor. Compania din Austin, Texas, spune ca unul dintre avantajele serviciului sau este ca destinatarii pot, de asemenea, sa trimita text inapoi, permitandu-le sa aiba conversatii bidirectionale cu marci sau companii.
Baza de date a stocat ani de mesaje text trimise si primite de la clientii sai si procesata de TrueDialog. Dar, deoarece baza de date a fost lasata neprotejata pe internet fara parola, niciuna dintre date nu a fost criptata si oricine ar putea privi in interior.
Cercetatorii de securitate Noam Rotem si Ran Locar au gasit baza de date expusa la inceputul acestei luni ca parte a eforturilor lor de scanare pe internet.
TechCrunch a examinat o parte din date, care continea jurnalele detaliate ale mesajelor trimise de clientii care foloseau sistemul TrueDialog, inclusiv numere de telefon si continutul mesajelor SMS. Baza de date continea informatii despre aplicatiile de finantare ale universitatii, mesaje de marketing de la companii cu coduri de reducere si alerte de locuri de munca, printre altele.
Dar datele contineau si mesaje text sensibile, cum ar fi coduri cu doi factori si alte mesaje de securitate, care ar fi permis oricui vizioneaza datele sa obtina acces la conturile online ale unei persoane. Multe dintre mesajele pe care le-am analizat contineau coduri pentru accesarea serviciilor medicale online pentru a obtine, precum si coduri de resetare si resetare a parolei pentru site-uri, inclusiv conturi Facebook si Google.
Datele contineau, de asemenea, numele de utilizator si parolele clientilor TrueDialog, care, daca ar fi fost utilizate, ar fi putut fi folosite pentru a accesa si impersona conturile.
Deoarece unele dintre conversatiile cu doua sensuri contineau un cod de conversatie unic, este posibil sa cititi lanturi intregi de conversatii. Un singur tabel continea zeci de milioane de mesaje, dintre care multi erau destinatari care incercau sa renunte la primirea mesajelor text.
TechCrunch a contactat TrueDialog despre expunere, care a scos prompt baza de date offline. In pofida faptului ca a ajuns de mai multe ori, directorul executiv al TrueDialog, John Wright, nu ar fi recunoscut incalcarea si nici nu va returna mai multe cereri de comentarii. De asemenea, Wright nu a raspuns la niciuna dintre intrebari – inclusiv daca compania va informa clientii despre perioada de securitate si daca intentioneaza sa informeze autoritatile de reglementare, cum ar fi avocatii generalii de stat, conform legilor privind notificarea privind incalcarea datelor de stat.
Compania este doar unul dintre multi furnizori de SMS care au lasat in ultimele luni sisteme – si mesaje text sensibile – pe internet pentru ca oricine sa aiba acces. Nu numai ca, ci este un alt exemplu de motiv pentru care mesajele text SMS pot fi convenabile, dar nu este un mod sigur de comunicare – in special pentru date sensibile, cum ar fi trimiterea de coduri cu doi factori.