Des chercheurs en sécurité ont découvert une base de données massive, exposée en ligne, contenant des dizaines de millions de SMS envoyés par des entreprises à des clients potentiels. La base de données est gérée par un fournisseur de SMS d'entreprise appelé TrueDialog qui permet aux organisations et aux universités d'envoyer des messages texte en masse à leurs clients et étudiants. Cependant, le service offre également aux destinataires de ces messages la possibilité d'envoyer des messages afin qu'ils puissent discuter avec ces sociétés. La base de données TrueDialog contenait plusieurs années de messages SMS envoyés et reçus par ses clients. Étant donné que la base de données n'était pas sécurisée en ligne, sans mot de passe, n'importe qui pouvait consulter ces messages non cryptés. La découverte initiale de la base de données exposée a été faite par Noam Rotem et Ran Locar de l'équipe de recherche vpnMentor.
Contenu de la base de données.
Après avoir examiné certaines des données exposées, TechCrunch a découvert que les données contenaient des enregistrements détaillés des messages envoyés par les clients TrueDialog, y compris leurs numéros de téléphone et le contenu de leurs messages. La base de données contenait des messages marketing d'entreprise, des alertes d'emploi et d'autres offres envoyées aux clients, mais stockait également des messages texte sensibles, tels que des codes d'authentification, en même temps. Deux facteurs et messages de sécurité. Grâce aux informations contenues dans ces messages, n'importe qui aurait pu tenter d'accéder aux comptes en ligne des utilisateurs. Les données contenaient également les noms d'utilisateur et les mots de passe des propres clients de TrueDialog, qui auraient également pu être utilisés pour accéder à leurs comptes et usurper leur identité. Une autre découverte surprenante était que certaines des conversations par messages bidirectionnels contenaient un code de conversation unique. Grâce à ce code, n’importe qui aurait pu lire des chaînes entières de conversations entre les entreprises et leurs clients. Ce n'est que le dernier cas d'une base de données non protégée en ligne, mais cela montre également que les messages texte SMS ne constituent pas un moyen sécurisé d'envoyer des données sensibles telles que des codes d'authentification à deux facteurs. Via TechCrunch