Mange selskaper bruker et SMS-tekstmeldingssystem som er annerledes enn det du bruker på telefonen. Dette er hva bedriftens ansatte bruker for å diskutere virksomheten sin med hverandre og kunder. Det er noe som pleier å stole mer enn din egen personlige e-post.
Disse SMS-systemene skal imidlertid ikke stole på automatisk. Forskerteamet til vpnMentor fant en brudd på data fra TrueDialog-kommunikasjonsselskapet i USA. En enorm mengde private data ble eksponert, inkludert titalls millioner tekstmeldinger samt brukerkontoinformasjon.
SMS-datalekkasje
True Dialog har base i Austin, Texas, og har holdt på i ti år. Det skaper SMS-løsninger, inkludert massemeldinger, markedsføring av SMS-alternativer, hastevarsler og Education SMS-alternativer for både store og små bedrifter. Disse løsningene fungerer med nesten 1000 mobiltelefonoperatører med en kundebase på 5 milliarder abonnenter.
Sammen med private tekstmeldinger fant vpnMentor brukernavn og passord for millioner av kontoer og data fra brukernes kunder også. Forskergruppen oppdaget at selskapet ikke sikret databasen ordentlig.
Når vpnMentor-forskere fikk vite omfanget av datalekkasjen, kontaktet de TrueDialog og delte kunnskapen samtidig som de tilbød å hjelpe selskapet med å lukke datalekkasjen. Mens selskapet stengte databasen, svarte de ikke på vpnMentor.
Microsoft Azure er vert for databasen som inneholder 604 GB data, og den kjører på Oracle Marketing Cloud. Selv TrueDialog selv ble påvirket, sammen med sine kunder og kundenes kunder. Millioner av e-postadresser, brukernavn, passord med klar tekst og base64-kodede passord var lett tilgjengelige.
Ikke bare ble data igjen ubeskyttet, men kontolegitimasjon ble igjen i klar tekst, slik at alle som fikk tilgang til databasen, kunne logge på firmakontoen og endre passordet. Dataene kan omfatte markedsføringskampanjer, nye produktutgivelsesdesign eller spesifikasjoner og utgivelsesdatoer, etc.
VpnMentor-forskerne fant dette brudd på data som en del av et nettkartleggingsprosjekt ved hjelp av portskanning for å undersøke IP-blokker og teste åpne hull. Etter å ha funnet et datainnbrudd varsler de selskaper og prøver å også varsle de som ble berørt. TrueDialog-databasen ble forbløffende helt usikret og ukryptert.
Ingen resultater kjent
Selv om det er kjent at data ble igjen ubeskyttet, og at TrueDialog siden har stengt databasen, er det ikke kjent hvilken skade som ble gjort siden selskapet ikke svarte på forskerne. Alle som bruker TrueDialog, bør snakke med selskapet for å prøve å løse saken.
Er du en TrueDialog-bruker? Gjør dette deg mindre tillit til bedriftens innebygde meldingssystem? Fortell oss i kommentarene nedenfor hvordan dette databruddet kan ha påvirket deg.