Os especialistas em segurança da vpnMentor descobriram uma base de dados pertencente à empresa de comunicações dos EUA TrueDialog que estava a expor milhões de mensagens SMS.
A maioria dos SMS incluídos na BD foram enviadas por empresas a clientes.
O TrueDialog fornece vários programas SMS, incluindo mensagens de texto em massa, opções de SMS de marketing, alertas urgentes, uma solução de SMS educacional e muito mais.
Atualmente, a empresa trabalha com mais de 990 operadoras e possui mais de 5 bilhões de assinantes.
“Aside from private text messages, our team discovered millions of account usernames and passwords, PII data of TrueDialog users and their customers, and much more.” reads the post published by vpnMentor.
“By not securing their database properly, TrueDialog compromised the security and privacy of millions of people across the USA.”
A base de dados estava desprotegida online, e os dados estavam disponíveis (foram armazenados) sem formatação, i.e., em plain-text. Estão alojados no Microsoft Azure através do Oracle Marketing Cloud.
Segundo os investigadores, a base de dados incluiu 1 bilhão de entradas pertencentes a mais de 100 milhões de cidadãos dos EUA. Na última vez em que analisaram a base de dados, ele continha um total de 604 GB de dados.
Os dados confidenciais contidos nessas mensagens SMS incluem nomes completos de destinatários, titulares de contas TrueDialog, utilizadores do TrueDialog, conteúdo de mensagens, endereços de e-mail, números de telefone de destinatários e utilizadores, datas e horários em que as mensagens foram enviadas, indicadores de status nas mensagens enviadas (.e.g, lida ou recebida) e detalhes da conta TrueDialog.
“The data exposed was a mix of TrueDialog account holders, users, and 100s of millions of American citizens.” continues the post.
A base de dados inclui logs da plataforma que revelaram detalhes importantes sobre como a base de dados é estruturada e monitorizada.
A base de dados também inclui registos de erros internos do sistema, bem como muitas solicitações e respostas HTTP que expõem o tráfego do site.
O vpnMentor tentou comunicar sua descoberta ao TrueDialog, mas eles nunca receberam uma resposta. A base de dados foi descoberta em 26/11/19 e os especialistas relataram o incidente ao TrueDialog em 28/11/19. A base de dados foi protegida em 29/11/19.
“The impact of this data leak can have a lasting impression for hundreds of millions of users. The available information can be sold to both marketers and spammers.” concludes vpnMentor.“TrueDialod competitors could have gotten a look into their backend and seen how the company is run from within. This would have given them a way to copy, or improve upon, the business model that has brought TrueDialog success.”
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.