I ricercatori di sicurezza hanno scoperto un enorme database, lasciato esposto online, contenente decine di milioni di SMS inviati dalle aziende a potenziali clienti. Il database è gestito da un provider SMS aziendale chiamato TrueDialog che consente alle organizzazioni e alle università di inviare messaggi di testo in blocco ai propri clienti e studenti. Tuttavia, il servizio offre anche ai destinatari di questi messaggi la possibilità di inviare messaggi in modo che possano chattare avanti e indietro con queste aziende. Il database TrueDialog conteneva diversi anni di messaggi SMS inviati e ricevuti dai suoi clienti. Poiché il database veniva lasciato online non protetto senza password, chiunque poteva visualizzare questi messaggi non crittografati. La scoperta iniziale del database esposto è stata fatta da Noam Rotem e Ran Locar del team di ricerca vpnMentor.
Contenuto della banca dati.
Dopo aver esaminato alcuni dei dati esposti, TechCrunch ha scoperto che i dati contenevano record dettagliati di messaggi inviati dai clienti TrueDialog, inclusi i loro numeri di telefono e il contenuto dei loro messaggi. Il database conteneva messaggi di marketing aziendale, avvisi di lavoro e altre offerte inviate ai clienti, ma allo stesso tempo memorizzava anche messaggi di testo sensibili, come codici di autenticazione. Due fattori e messaggi di sicurezza. Utilizzando le informazioni contenute in questi messaggi, chiunque avrebbe potuto tentare di accedere agli account online degli utenti. I dati contenevano anche nomi utente e password dei clienti di TrueDialog, che avrebbero potuto essere utilizzati anche per accedere e impersonare i loro account. Un'altra scoperta sorprendente è stata che alcune delle conversazioni di messaggi bidirezionali contenevano un codice di conversazione univoco. Utilizzando questo codice chiunque avrebbe potuto leggere intere catene di conversazioni tra le aziende e i loro clienti. Questo è solo l’ultimo caso di un database non protetto online, ma dimostra anche che i messaggi SMS non forniscono un modo sicuro per inviare dati sensibili come i codici di autenticazione a due fattori. Tramite TechCrunch