数据库安全漏洞中暴露的数百万条SMS消息

 
在线发现了一个庞大的数据库，其中存储了数千万条SMS短信，其中大部分是由企业发送给潜在客户的。
该数据库由TrueDialog运行，TrueDialog是为企业和高等教育提供者提供的商业SMS提供商，它使公司，大学和大学可以向其客户和学生发送大量文本消息。这家位于德克萨斯州奥斯汀市的公司表示，其服务的优势之一是收件人还可以发短信，使他们可以与品牌或企业进行双向对话。
该数据库存储了其客户发送和接收的文本消息的年限，并由TrueDialog处理。但是由于没有密码就无法在互联网上保护数据库，因此没有对数据进行加密，任何人都可以查看内部。
安全研究人员Noam Rotem和Ran Locar在本月初发现了暴露的数据库，这是他们进行互联网扫描的一部分。
TechCrunch检查了一部分数据，其中包含使用TrueDialog系统的客户发送的消息的详细日志，包括电话号码和SMS消息内容。该数据库包含有关大学财务应用程序的信息，来自企业的带有折扣代码的营销信息以及工作警报等。
但是数据还包含敏感的文本消息，例如两因素代码和其他安全消息，这可能使任何查看该数据的人都可以访问该人的在线帐户。我们审查的许多消息都包含访问在线医疗服务的代码，以获得密码，以及包括Facebook和Google帐户在内的网站的密码重置和登录代码。
数据还包含TrueDialog客户的用户名和密码，如果使用该用户名和密码，这些用户名和密码可能会被用来访问和模拟他们的帐户。
由于某些双向消息对话包含唯一的对话代码，因此可以阅读整个对话链。仅一个表就具有数千万条消息，其中许多是试图退出接收文本消息的消息收件人。
TechCrunch与TrueDialog联系以了解有关此漏洞的信息，该漏洞立即使数据库脱机。尽管屡屡达成协议，TrueDialog的首席执行官约翰·赖特(John Wright)仍不承认违规行为，也不会退回数条评论请求。赖特也没有回答我们的任何问题-包括该公司是否会通知客户安全漏洞，以及他是否计划根据州数据泄露通知法通知州检察长等监管机构。
该公司只是最近几个月将系统和敏感文本消息留在互联网上供任何人访问的众多SMS提供商之一。不仅如此，这也是SMS短信为何方便但又不是安全的通信方式的另一个示例，尤其是对于敏感数据(例如发送两因素代码)的情况。
阅读更多：
SMS消息的泄漏数据库暴露了两个因素的代码
Mixcloud数据泄露泄露超过2000万用户记录
StockX被黑，暴露了数百万客户的数据
DoorDash确认数据泄露影响了490万用户
不要说“我们认真对待您的隐私和安全性”
研究人员称，Capital One漏洞也袭击了其他主要公司
梅西百货称黑客再次偷走了客户的信用卡