Millones de mensajes SMS expuestos en el lapso de seguridad de la base de datos – TechCrunch


Una base de datos masiva que almacena decenas de millones de SMS Los mensajes de texto, la mayoría de los cuales fueron enviados por empresas a clientes potenciales, se han encontrado en línea.

La base de datos es dirigido por TrueDialog, un proveedor de SMS empresarial para empresas y proveedores de educación superior, que permite a empresas, colegios y universidades enviar mensajes de texto masivos a sus clientes y estudiantes. La compañía con sede en Austin, Texas, dice que una de las ventajas de su servicio es que los destinatarios también pueden enviar mensajes de texto, lo que les permite tener conversaciones bidireccionales con marcas o empresas.

La base de datos almacenó años de mensajes de texto enviados y recibidos de sus clientes y procesados ​​por TrueDialog. Pero debido a que la base de datos se dejó desprotegida en Internet sin una contraseña, ninguno de los datos estaba encriptado y cualquiera podía mirar dentro.

Los investigadores de seguridad Noam Rotem y Ran Locar encontró la base de datos expuesta a principios de este mes como parte de sus esfuerzos de escaneo de internet.

TechCrunch examinó una parte de los datos, que contenía registros detallados de mensajes enviados por clientes que usaron el sistema TrueDialog, incluidos números de teléfono y contenido de mensajes SMS. La base de datos contenía información sobre solicitudes de financiamiento universitario, mensajes de mercadeo de empresas con códigos de descuento y alertas de trabajo, entre otras cosas.

Pero los datos también contenían mensajes de texto confidenciales, como códigos de dos factores y otros mensajes de seguridad, que pueden haber permitido que cualquiera que vea los datos obtenga acceso a las cuentas en línea de una persona. Muchos de los mensajes que revisamos contenían códigos para acceder a servicios médicos en línea y obtener códigos de restablecimiento de contraseña e inicio de sesión para sitios que incluyen cuentas de Facebook y Google.

Los datos también contenían nombres de usuario y contraseñas de los clientes de TrueDialog, que si se hubieran utilizado podrían haberse utilizado para acceder y hacerse pasar por sus cuentas.

Debido a que algunas de las conversaciones de mensajes bidireccionales contenían un código de conversación único, es posible leer cadenas enteras de conversaciones. Una sola mesa tenía decenas de millones de mensajes, muchos de los cuales eran destinatarios de mensajes que intentaban optar por no recibir mensajes de texto.

TechCrunch contactó a TrueDialog sobre la exposición, lo que rápidamente desconectó la base de datos. A pesar de comunicarse varias veces, el director ejecutivo de TrueDialog, John Wright, no reconoció la violación ni respondió varias solicitudes de comentarios. Wright tampoco respondió a ninguna de nuestras preguntas, incluso si la compañía informaría a los clientes sobre el lapso de seguridad y si planea informar a los reguladores, como los fiscales generales estatales, según las leyes estatales de notificación de violación de datos.

La compañía es solo uno de los muchos proveedores de SMS que en los últimos meses han dejado sistemas [y mensajes de texto confidenciales] en Internet para que cualquiera pueda acceder. No solo eso, sino que es otro ejemplo de por qué los mensajes de texto SMS pueden ser convenientes, pero no es una forma segura de comunicarse, particularmente para datos confidenciales, como enviar códigos de dos factores.

Lee mas:

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *