Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

          Global Informatique Securite

Global Informatique Securite

Suivez les dernières actualités, sécurité informatique "Bugs & failles". Tenez-vous Informé des dernières Technologies et Optimisation système


Base de données SMS non chiffrée trouvée en ligne

Publié par Mark Wyciślik-Wilson Traduction Yomane sur 2 Décembre 2019, 12:38pm

Catégories : #Anonymat, #Failles, #Sécurité, #Smartphone

PUBLIC VISE :SMS SMARTHONE USA

Une énorme base de données de messages texte et de données utilisateur a été découverte en ligne, totalement non protégée et gratuite pour tous.

Trouvé par des chercheurs de vpnMentor, la base de données appartient à la société de communication américaine TrueDialog. Parmi les données exposées figurent non seulement des dizaines de millions de SMS, mais également des informations privées, notamment des noms d'utilisateur et des mots de passe.

La société basée au Texas fournit des services SMS aux établissements d’enseignement et aux entreprises, notamment des publipostages en masse, des annonces d’urgence et des messages marketing. À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés, mais il semble que la base de données exposée ne concerne que les citoyens américains.

vpnMentor indique que la base de données TrueDialog a une taille de 604 Go et est hébergée par Microsoft Azure et s'exécutant sur Oracle Marketing Cloud en Amérique. La société explique que la base de données a été découverte, non chiffrée et non protégée par un mot de passe le 26 novembre.

L’équipe de recherche vpnMentor a découvert la faille dans la base de données TrueDialog dans le cadre d’un vaste projet de cartographie Web. Nos chercheurs utilisent le balayage de ports pour examiner des blocs IP particuliers et tester les lacunes des systèmes. Ils examinent chaque trou pour la fuite de données.

Lorsqu'ils découvrent une violation de données, ils utilisent des techniques expertes pour vérifier l'identité de la base de données. Nous alertons ensuite l'entreprise de la brèche. Si possible, nous alerterons également les personnes touchées par la violation.

Notre équipe a pu accéder à cette base de données car elle était complètement non sécurisée et non cryptée. La société utilise une base de données Elasticsearch, qui n'est généralement pas conçue pour une utilisation d'URL. Cependant, nous avons pu y accéder via un navigateur et manipuler les critères de recherche d'URL pour exposer les schémas de base de données.

Ce projet de cartographie Web a pour objectif de rendre Internet plus sûr pour tous les utilisateurs.

En tant que hackers éthiques, nous sommes obligés d'informer une entreprise lorsque nous découvrons des failles dans leur sécurité en ligne. Cela est particulièrement vrai lorsque la violation de données des entreprises contient de telles informations privées. Cependant, cette éthique signifie également que nous assumons une responsabilité envers le public. Les utilisateurs de TrueDialog doivent être conscients qu’une violation de données les concerne également.

La base de données contient près d’un milliard d’entrées contenant des données sensibles, notamment:

  • Connexion au compte TrueDialog: Il y avait des millions d’adresses e-mail, noms d’utilisateur, mots de passe en clair, et mots de passe codés en base64, faciles à déchiffrer et facilement accessibles.
  • Détails de l'utilisateur du compte: Des centaines de milliers d'entrées ont été envoyées avec des détails sur les utilisateurs, notamment leurs noms complets, leurs numéros de téléphone, adresses, courriels, etc.
  • Des dizaines de millions de messages texte contenant des données telles que:
    • Noms complets des destinataires, des titulaires de comptes TrueDialog et des utilisateurs TrueDialog
    • Contenu des messages
    • Adresses mail
    • Numéros de téléphone des destinataires et des utilisateurs
    • Dates et heures d'envoi des messages
    • Indicateurs d'état sur les messages envoyés, comme les accusés de lecture, les réponses, etc.
    • Détails du compte TrueDialog

Les conclusions de Noam Rotem et Ran Locar de vpnMentor ont été vérifiées par TechCrunch . Après avoir été contacté par TechCrunch, TrueDialog a déconnecté la base de données non sécurisée, mais a refusé de répondre aux questions relatives à l'incident de sécurité.

 

Source :betanews

---***---

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Archives

Nous sommes sociaux !

Articles récents