Sicherheitsforscher haben eine riesige, online verfügbare Datenbank entdeckt, die zig Millionen SMS-Nachrichten enthält, die von Unternehmen an potenzielle Kunden gesendet wurden. Die Datenbank wird von einem Unternehmens-SMS-Anbieter namens TrueDialog verwaltet, der es Organisationen und Universitäten ermöglicht, Massentextnachrichten an ihre Kunden und Studenten zu senden. Der Dienst bietet den Empfängern dieser Nachrichten jedoch auch die Möglichkeit, Nachrichten zu versenden, um mit diesen Unternehmen hin und her zu chatten. Die TrueDialog-Datenbank enthielt SMS-Nachrichten aus mehreren Jahren, die von seinen Kunden gesendet und empfangen wurden. Da die Datenbank ungesichert und ohne Passwort online blieb, konnte jeder diese unverschlüsselten Nachrichten einsehen. Die erste Entdeckung der offengelegten Datenbank wurde von Noam Rotem und Ran Locar vom vpnMentor-Forschungsteam gemacht.
Datenbankinhalt.
Nach Durchsicht einiger der offengelegten Daten stellte TechCrunch fest, dass die Daten detaillierte Aufzeichnungen der von TrueDialog-Kunden gesendeten Nachrichten enthielten, einschließlich ihrer Telefonnummern und des Inhalts ihrer Nachrichten. Die Datenbank enthielt Unternehmensmarketingnachrichten, Stellenbenachrichtigungen und andere Angebote, die an Kunden gesendet wurden, speicherte aber gleichzeitig auch sensible Textnachrichten wie Authentifizierungscodes. Zwei Faktoren und Sicherheitshinweise. Mithilfe der in diesen Nachrichten enthaltenen Informationen hätte jeder versuchen können, auf die Online-Konten der Benutzer zuzugreifen. Die Daten enthielten auch die Benutzernamen und Passwörter der eigenen Kunden von TrueDialog, die ebenfalls zum Zugriff auf deren Konten und zum Vortäuschen ihrer Identität hätten verwendet werden können. Eine weitere überraschende Entdeckung war, dass einige der bidirektionalen Nachrichtenkonversationen einen eindeutigen Konversationscode enthielten. Mit diesem Code hätte jeder ganze Gesprächsstränge zwischen Unternehmen und ihren Kunden lesen können. Dies ist nur der jüngste Fall, in dem eine Datenbank online nicht gesichert ist, aber es zeigt auch, dass SMS-Textnachrichten keine sichere Möglichkeit bieten, vertrauliche Daten wie Zwei-Faktor-Authentifizierungscodes zu senden. Über TechCrunch