您的位置:首页 >财经 > 要闻 >

数据库安全漏洞导致数百万条SMS消息暴露

2019-12-02 18:46:41 [来源]:

一个存储数千万条短信的海量数据库在线上发现了短信,其中大部分是企业发送给潜在客户的。该数据库由TrueDialog运行,TrueDialog是为企业和高等教育提供者提供的商业SMS提供商,它使公司,大学和大学可以向其客户和学生发送大量文本消息。这家位于德克萨斯州奥斯汀市的公司表示,其服务的优势之一是收件人还可以发短信,使他们可以与品牌或企业进行双向对话。

该数据库存储了其客户发送和接收的文本消息的年限,并由TrueDialog处理。但是由于没有密码就无法在互联网上保护数据库,因此没有对数据进行加密,任何人都可以查看内部。

安全研究人员Noam Rotem和Ran Locar在本月初发现了暴露的数据库,这是他们进行互联网扫描的一部分。

TechCrunch检查了一部分数据,其中包含使用TrueDialog系统的客户发送的消息的详细日志,包括电话号码和SMS消息内容。该数据库包含有关大学财务应用程序的信息,来自企业的带有折扣代码的营销信息以及工作警报等。

但是数据还包含敏感的文本消息,例如两因素代码和其他安全消息,这可能使任何查看该数据的人都可以访问该人的在线帐户。我们审查的许多消息都包含访问在线医疗服务的代码,以获得密码,以及包括Facebook和Google帐户在内的网站的密码重置和登录代码。

数据还包含TrueDialog客户的用户名和密码,如果使用该用户名和密码,则可以用来访问和模拟他们的帐户。

由于某些双向消息对话包含唯一的对话代码,因此可以读取整个对话链。仅一个表就具有数千万条消息,其中许多是试图退出接收文本消息的消息收件人。

TechCrunch与TrueDialog联系以了解有关此漏洞的信息,该漏洞立即使数据库脱机。尽管进行了多次讨论,TrueDialog的首席执行官约翰·怀特(John Wright)仍不承认违规行为,也不会退回数条评论请求。赖特也没有回答我们的任何问题-包括该公司是否会通知客户安全漏洞,以及他是否计划根据州数据泄露通知法通知监管机构,例如州总检察长。

该公司只是最近几个月将系统和敏感文本消息留在互联网上供任何人访问的众多SMS提供商之一。不仅如此,这也是为什么SMS文本消息可能方便但又不是安全的通信方式的另一个示例-特别是对于敏感数据,例如发送两因素代码。