Звіт: Мільйони американців ризикують після величезних витоків даних та SMS


Вступ

Під керівництвом Ноама Ротема та Рана Локара, дослідницька група vpnMentor виявила порушену базу даних американської комунікаційної компанії TrueDialog.

TrueDialog надає SMS-рішення для текстових повідомлень компаніям у США, і ця база даних була пов’язана з багатьма аспектами їхнього бізнесу. Це було величезне відкриття, в якому було викрито величезну кількість приватних даних, включаючи десятки мільйонів SMS-повідомлень. 

Окрім приватних текстових повідомлень, наша команда виявила мільйони імен користувачів і паролів облікових записів, дані PII користувачів TrueDialog та їхніх клієнтів та багато іншого. 

Неправильно захистивши свою базу даних, TrueDialog поставив під загрозу безпеку та конфіденційність мільйонів людей у ​​США.

Профіль компанії TrueDialog

TrueDialog базується в Остіні, штат Техас, США, і існує вже більше 10 років. Він спеціалізується на створенні SMS-рішень для великого та малого бізнесу. Існує декілька різних SMS-програм, включаючи масові текстові повідомлення, маркетингові параметри SMS, термінові сповіщення, рішення SMS для освіти та інше. 

В даний час TrueDialog працює з більш ніж 990 операторами стільникових телефонів і охоплює понад 5 мільярдів абонентів по всьому світу. 

Хронологія виявлення та реакція власника

Іноді ступінь порушення даних та власник даних очевидні, і питання швидко вирішується. Але це справді рідкість, зазвичай це потребує декількох днів розслідування, перш ніж ми зрозуміємо, про що йде мова чи хто просочує дані.

Розуміння порушення та того, що ставить під сумнів, вимагає уважної уваги та часу. Ми наполегливо працюємо над публікацією точні та достовірні звіти, забезпечення того, щоб кожен, хто їх читав, розумів їхню серйозність.

Деякі постраждалі сторони заперечують факти, ігноруючи наше дослідження або зменшуючи його вплив. Отже, ми повинні бути ретельними і переконайтесь, що все, що ми знаходимо, є правильним та правдивим.

У цьому випадку ідентифікувати TrueDalog як власника бази даних було досить просто. Їх ідентифікатор хосту “api.truedialog.com” був знайдений в усьому світі. Однак також було зрозуміло, що це було величезним порушенням даних, що порушує конфіденційність та безпеку десятків мільйонів громадян США по всій країні.. 

Після того, як все, що було викрито в базі даних TrueDialog, було зрозуміло, ми зв’язалися з компанією. Ми розкрили наші висновки і запропонували свою експертизу, допомагаючи їм закрити витік даних і гарантувати, що ніхто не зазнав ризику. 

З цього часу база даних закрита, але TrueDialog так і не відповів нам. 

  • Дата виявлення: 26/11/19
  • Дата зв’язку з продавцем: 28/11/19
  • Дата дії: 29/11/19

Огляд бази даних

База даних TrueDialog розміщується в Microsoft Azure та працює в маркетинговій хмарі Oracle у США. Коли ми востаннє переглядали базу даних, вона включала 604 ГБ даних. Це включало майже 1 мільярд записів високочутливих даних, про які ми детально розповімо нижче.

Приклад експонованих даних

Розмістити кількість цих витоків даних важко в контекст. Десятки мільйонів людей були піддані потенційній дії різними способами. Рідко одна база даних містить такий величезний обсяг інформації, який також надзвичайно різноманітний.

База даних містила записи, які стосувалися багатьох аспектів бізнес-моделі TrueDialog. Сама компанія була піддана, разом зі своєю клієнтською базою, та клієнтами цих клієнтів.   

Інформація, що міститься в цій базі даних, може бути використана безліччю способів проти людей, до яких була викрита інформація.

Вхід у обліковий запис TrueDialog

Мільйони адрес електронної пошти, імені користувачів, паролі ясного тексту та паролі, закодовані base64 (які легко розшифрувати) були легко доступними в базі даних.

SMS-повідомлення, надіслані через TrueDialog

Нам вдалося знайти десятки мільйонів записів із повідомлень, відправлених через TrueDialog, та розмов, розміщених на платформі. Конфіденційні дані, що містяться в цих SMS-повідомленнях, включали, але не обмежувались ними:

  • Повні імена одержувачів, власників облікових записів TrueDialog, & Користувачі TrueDialog
  • Зміст повідомлень
  • Адреси електронної пошти
  • Номери телефонів одержувачів та користувачів
  • Дати та час надсилання повідомлень
  • Індикатори стану відправлених повідомлень, як-от Прочитати квитанції, відповіді тощо.
  • Реквізити акаунта TrueDialog

Отримані дані були сукупністю власників облікових записів TrueDialog, користувачів та десятків мільйонів американських громадян.

Інформація про користувача облікового запису

Було сотні тисяч записів із деталями про користувачів, включаючи повні імена, номери телефонів, адреси, електронні листи та багато іншого.

Була також знайдена більш детальна інформація про користувачів. Однак через проблеми з функціоналом пошуку бази даних було складно оцінити точну кількість цих записів.

Технічні журнали

Ці журнали виявили важливі деталі щодо структуризації бази даних та управління ними. Наприклад, було сотні тисяч записів, які зафіксували зв’язок між різними номерами телефонів, пов’язаними з маркетинговою платформою TrueDialogs, Eloqua by Oracle.

Ми також виявили в журналах бази даних внутрішні системні помилки, а також багато запитів та відповідей http, а це означає, що той, хто її знайшов, може бачити трафік сайту. Це само по собі могло виявити вразливі місця.

Вплив на порушення даних

Вплив цієї витоку даних може мати тривале враження для десятків мільйонів користувачів. Наявна інформація може бути продана як маркетологам, так і спамерам. 

Для TrueDialog

Також існує значний вплив на самих TrueDialog, не враховуючи, як це негативно позначиться на їхній репутації.

Їх конкуренти могли зазирнути у їхній фон і побачити, як компанія працює зсередини. Це дало б їм можливість скопіювати або вдосконалити бізнес-модель, яка принесла успіх TrueDialog. А тепер, коли TrueDialog не зміг зберегти свою базу даних клієнтів, його конкуренти також можуть скористатися поганою рекламою, яку бренд збирається отримувати, і навіть перейняти своїх клієнтів..

Крім того, за допомогою журналів внутрішніх помилок системи, ненавмисні хакери можуть знайти вразливості в системі TrueDialog та використовувати їх.

Для компаній, що використовують TrueDialog

Придбання рахунку

Дані облікових записів не лише залишалися незахищеними, але й у чіткому тексті. Це означає, що кожен, хто отримав доступ до бази даних, зможе увійти до облікового запису компанії, змінити пароль та зробити неймовірний збиток. 

Корпоративний шпигунство

Це ще одна помилка незашифрованої системи повідомлень, яку використовує TrueDialog. Корпоративному шпигуну було б легко прочитати конфіденційні повідомлення, надіслані конкурентною компанією. Ці дані можуть включати маркетингові кампанії, дати розробки нового продукту, нові конструкції продукту або характеристики та багато іншого. 

Втрата доходу, в т.ч. Вони втрачають потенційні покупці

Цей витік також виявив записи щодо продажів потенційних клієнтів користувачів TrueDialog. Користувачі скуповують потенційні клієнти у зовнішніх сторін, і якщо вони призвели до витоку, вони можуть втратити багато грошей.

Для клієнтів компаній & Студенти

Крадіжка особи та шахрайство

Шахрай може використовувати приватні реквізити, викриті в повідомленнях, а також повні імена, електронні листи та номери телефонів, викритих у ньому, для різних шахрайських схем. 

Фішинг та афери (телефон & онлайн)

Сама велика кількість контактних даних є величезною перевагою для спамерів. Більше того, викриті особисті дані можуть виявитись дуже цінними для націлювання людей на реакцію на спам та фішинг.

Шантаж

Оскільки весь вміст повідомлення викритий у чіткому тексті, аферисти матимуть багато боєприпасів для шантажу. Шахраї можуть використовувати будь-яку особисту інформацію, яка надсилається або замовником, або студентами у програмах Освіта, і використовувати її для вимагання їх.   

Поради експертів

TrueDialog міг легко уникнути цього витоку, якби вжив деяких основних заходів безпеки для захисту бази даних. До них відносяться, але не обмежуються ними:

  1. Захистіть ваші сервери.
  2. Дотримуйтесь правильних правил доступу.
  3. Ніколи не залишайте систему, яка не потребує автентифікації, відкритою для Інтернету.

Будь-яка компанія може повторити однакові кроки, незалежно від її розміру.

Щоб отримати докладніший посібник щодо захисту свого бізнесу, перегляньте наш посібник із захисту вашого веб-сайту та онлайн-бази даних від хакерів.

Для користувачів TrueDialog

Якщо ви є клієнтом TrueDialog і переймаєтесь тим, як саме це порушення може вплинути на вас, або вразливості даних взагалі, прочитайте повне керівництво по конфіденційності в Інтернеті.

Він показує вам, як кіберзлочинці націлюють користувачів Інтернету та кроки, які ви можете вжити, щоб бути безпечними.

Як і чому ми виявили порушення

Дослідницька команда vpnMentor виявила порушення в базі даних TrueDialog як частина величезного проекту веб-карти. Наші дослідники використовують сканування портів для дослідження конкретних блоків IP та тестування відкритих отворів у системах на наявність слабких місць. Вони оглядають кожну дірку на предмет протікання даних. 

Коли вони виявляють порушення даних, вони використовують експертні методи для перевірки ідентичності бази даних. Потім ми попереджаємо компанію про порушення. Якщо це можливо, ми також попередимо тих, кого постраждало від порушення.

Наша команда отримала доступ до цієї бази даних, оскільки вона була повністю незахищеною та незашифрованою. 

Компанія використовує базу даних Elasticsearch, яка зазвичай не призначена для використання URL. Однак нам вдалося отримати доступ до нього за допомогою браузера та маніпулювати критеріями пошуку URL-адрес для виявлення схем бази даних. 

Мета цього веб-проекту – допомогти зробити Інтернет безпечнішим для всіх користувачів. 

Як етичні хакери, ми зобов’язані повідомити компанію, коли виявимо недоліки в їхній безпеці в Інтернеті. Це особливо актуально, коли порушення даних компаній містить таку приватну інформацію.

Однак ця етика також означає, що ми несемо відповідальність перед громадськістю. Користувачі TrueDialog повинні знати про порушення даних, яке також впливає на них.

Про нас та попередні звіти

vpnMentor – це найбільший у світі веб-сайт з огляду VPN. Наша дослідницька лабораторія – це промо-сервіс, який прагне допомогти інтернет-спільноті захиститися від кіберзагроз, навчаючи організації щодо захисту даних своїх користувачів.. 

У минулому ми виявили величезне порушення даних, що розкривали дані мільйонів громадян Еквадору. Ми також виявили, що порушення Biostar 2 ставить під загрозу біометричні дані понад 1 мільйона людей. Ви також можете прочитати наш Звіт про витоки VPN та Звіт про статистику конфіденційності даних.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map