Des chercheurs en sécurité ont découvert une base de données massive, laissée exposée en ligne, contenant des dizaines de millions de SMS envoyés par des entreprises à des clients potentiels.
La base de données est gérée par un fournisseur de SMS d’entreprise appelé TrueDialog qui permet aux organisations et aux collèges d’envoyer des messages texte en vrac à leurs clients et à leurs étudiants. Cependant, le service offre également aux destinataires de ces messages la possibilité de renvoyer des messages afin de pouvoir converser dans les deux sens avec ces entreprises.
La base de données TrueDialog contenait plusieurs années de messages SMS envoyés et reçus par ses clients. Étant donné que la base de données était laissée en ligne non sécurisée sans mot de passe, tout le monde pouvait consulter ces messages non chiffrés.
La découverte initiale de la base de données exposée a été faite par Noam Rotem et Ran Locar de l’équipe de recherche de vpnMentor.
Sommaire
Contenu de la base de données
Après avoir examiné une partie des données exposées, TechCrunch a constaté qu'il contenait des journaux détaillés des messages envoyés par les clients utilisant le système TrueDialog, y compris leurs numéros de téléphone et le contenu de leurs messages.
La base de données elle-même contenait des messages marketing d'entreprises, des alertes emploi et d'autres offres envoyées aux clients, mais elle stockait également des messages texte sensibles, tels que codes d’authentification à deux facteurs et messages de sécurité. En utilisant les informations contenues dans ces messages, n'importe qui aurait pu potentiellement essayer d'accéder aux comptes en ligne des utilisateurs.
Les données contenaient également les noms d'utilisateur et mots de passe des propres clients de TrueDialog, qui auraient également pu être utilisés pour accéder à leurs comptes et les imiter.
Une autre découverte surprenante a été le fait que certaines des conversations à message bidirectionnel contenaient un code de conversation unique. En utilisant ce code, n'importe qui aurait pu lire des chaînes entières de conversations entre les entreprises et leurs clients.
Ce n'est que le dernier cas d'une base de données laissée en ligne non sécurisée, mais il montre également que les messages texte SMS ne constituent pas un moyen sécurisé d'envoyer des données sensibles telles que des codes d'authentification à deux facteurs.
Via TechCrunch