Des millions de SMS exposés dans la sécurité de la base de données – TechCrunch

Une base de données massive stockant des dizaines de millions de SMS Des messages texte, dont la plupart ont été envoyés par des entreprises à des clients potentiels, ont été trouvés en ligne.

La base de données est gérée par TrueDialog, un fournisseur de SMS pour entreprises et fournisseurs d’enseignement supérieur, qui permet aux entreprises, aux collèges et aux universités d’envoyer des messages texte en masse à leurs clients et à leurs étudiants. La société basée à Austin, au Texas, a déclaré que l'un des avantages de son service est que les destinataires peuvent également envoyer des SMS, ce qui leur permet d'avoir des conversations à double sens avec des marques ou des entreprises.

La base de données stockait les années de messages texte envoyés et reçus de ses clients et traitées par TrueDialog. Mais comme la base de données n'a pas été protégée sur Internet sans mot de passe, aucune donnée n'a été cryptée et personne ne pouvait y regarder.

Les chercheurs en sécurité Noam Rotem et Ran Locar ont découvert la base de données exposée plus tôt ce mois-ci dans le cadre de leurs efforts d'analyse Internet.

TechCrunch a examiné une partie des données, qui contenaient des journaux détaillés des messages envoyés par les clients utilisant le système de TrueDialog, y compris les numéros de téléphone et le contenu des messages SMS. La base de données contenait des informations sur les applications financières des universités, les messages marketing d'entreprises dotées de codes de réduction et des alertes d'emploi, entre autres.

Mais les données contenaient également des messages texte sensibles, tels que des codes à deux facteurs et d’autres messages de sécurité, qui auraient peut-être permis à quiconque les visualisant d’avoir accès aux comptes en ligne d’une personne. La plupart des messages que nous avons examinés contenaient des codes pour accéder aux services médicaux en ligne, des codes de réinitialisation de mot de passe et de connexion pour des sites, notamment des comptes Facebook et Google.

Les données contenaient également les noms d’utilisateur et les mots de passe des clients de TrueDialog, qui, s’ils avaient été utilisés, auraient pu être utilisés pour accéder à leurs comptes et les imiter.

Certaines conversations à double sens contenant un code de conversation unique, il est possible de lire des chaînes entières de conversations. Une table à elle seule contenait des dizaines de millions de messages, dont beaucoup étaient des destinataires essayant de ne pas recevoir de messages texte.

TechCrunch a contacté TrueDialog à propos de l'exposition, qui a rapidement déconnecté la base de données. Malgré plusieurs contacts, le directeur général de TrueDialog, John Wright, n’a pas reconnu la violation ni renvoyé plusieurs demandes de commentaires. Wright n'a également répondu à aucune de nos questions – y compris si la société informerait les clients de la défaillance de la sécurité et s'il prévoyait d'informer les autorités de réglementation, telles que les procureurs généraux des États, des lois de notification des violations de données par État.

La société n’est que l’un des nombreux fournisseurs de SMS qui ont laissé au cours de ces derniers mois des systèmes – et des SMS sensibles – sur Internet, accessibles à tous. Non seulement cela, mais c’est un autre exemple de la raison pour laquelle les messages texte SMS peuvent être pratiques mais ne constituent pas un moyen de communication sécurisé – en particulier pour les données sensibles, comme l’envoi de codes à deux facteurs.

Lire la suite:

Traduit de la source : https://techcrunch.com/2019/12/01/millions-sms-messages-exposed/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.