Ziņojums: Miljoniem amerikāņu ir pakļauti riskam pēc milzīga datu un SMS noplūdes

Ievads

Noam Rotem un Ran Locar vadībā, vpnMentor pētījumu komanda atklāja pārkāptu datu bāzi, kas pieder amerikāņu komunikāciju uzņēmumam TrueDialog.

TrueDialog piedāvā īsziņu sūtīšanas risinājumus ASV uzņēmumiem, un attiecīgā datu bāze bija saistīta ar daudziem viņu biznesa aspektiem. Tas bija milzīgs atklājums, atklājot lielu daudzumu privātu datu, tostarp desmitiem miljonu īsziņu. 

Papildus privātajām īsziņām mūsu komanda atklāja miljoniem kontu lietotājvārdu un paroļu, TrueDialog lietotāju un viņu klientu PII datus un daudz ko citu.. 

Nepareizi nenodrošinot savu datu bāzi, TrueDialog apdraudēja miljoniem cilvēku visā ASV drošību un privātumu.

TrueDialog uzņēmuma profils

TrueDialog atrodas Austinā, Teksasas štatā, ASV un darbojas jau vairāk nekā 10 gadus. Tā specializācija ir SMS risinājumu radīšana lieliem un maziem uzņēmumiem. Pastāv vairākas atšķirīgas SMS programmas, tostarp masveida īsziņas, mārketinga SMS iespējas, steidzami brīdinājumi, izglītības SMS risinājums un daudz kas cits. 

Pašlaik TrueDialog sadarbojas ar vairāk nekā 990 mobilo tālruņu operatoriem un sasniedz vairāk nekā 5 miljardus abonentu visā pasaulē. 

Atklāšanas laika grafiks un īpašnieka reakcija

Dažreiz datu pārkāpuma pakāpe un datu īpašnieks ir acīmredzami, un problēma tiek ātri atrisināta. Bet tas tiešām ir retums, parasti izmeklēšana prasa vairākas dienas, pirms mēs saprotam, kas ir uz spēles vai kurš noplūst.

Izpratne par pārkāpumu un to, kas ir apdraudēts, prasa īpašu uzmanību un laiku. Mēs smagi strādājam pie publicēšanas precīzi un uzticami pārskati, nodrošinot, ka visi, kas tos lasa, saprot viņu nopietnību.

Dažas skartās puses noliedz faktus, neņemot vērā mūsu pētījumu vai mazinot tā ietekmi. Tātad mums jābūt pamatīgiem un pārliecinieties, ka viss, ko atrodam, ir pareizs un patiess.

Šajā gadījumā bija diezgan viegli identificēt TrueDalog kā datu bāzes īpašnieku. Viņu resursdatora ID “api.truedialog.com” tika atrasts visā. Tomēr bija arī skaidrs, ka tas ir milzīgs datu pārkāpums, apdraudot desmitiem miljonu ASV pilsoņu privātās dzīves un drošības visā valstī. 

Kad viss, kas tika atklāts TrueDialog datu bāzē, bija skaidrs, mēs sazinājāmies ar uzņēmumu. Mēs atklājām savus atklājumus un piedāvājām savu pieredzi, lai palīdzētu viņiem novērst datu noplūdi un nodrošinātu, ka neviens nav pakļauts riskam. 

Kopš tā laika datu bāze ir slēgta, bet TrueDialog mums nekad nav atbildējis. 

• Atklāšanas datums: 26/11/19
• Datums, kad pārdevēji sazinājās: 28/11/19
• Darbības datums: 29/11/19

Datubāzes pārskats

TrueDialog datu bāzi mitina Microsoft Azure, un tā darbojas uz Oracle Marketing Cloud ASV. Kad mēs pēdējo reizi apskatījām datu bāzi, tajā bija iekļauti 604 GB datu. Tas ietvēra gandrīz 1 miljardu ļoti sensitīvu datu ierakstus, kurus mēs sīkāk aprakstīsim turpmāk.

Atsegto datu piemērs

Šo datu noplūdes lielumu ir grūti iekļaut kontekstā. Desmitiem miljonu cilvēku varēja tikt pakļauti vairākos veidos. Retāk ir tas, ka vienā datu bāzē ir tik milzīgs informācijas apjoms, kas arī ir neticami daudzveidīgs.

Datu bāzē bija ieraksti, kas bija saistīti ar daudziem TrueDialog biznesa modeļa aspektiem. Tika pakļauts pats uzņēmums, kā arī tā klientu bāze un šo klientu klienti.   

Šajā datu bāzē esošo informāciju varēja neskaitāmi izmantot pret cilvēkiem, kuru informācija tika atklāta.

TrueDialog konta pieteikšanās

Miljoniem e-pasta adrešu, lietotājvārdu, teksta paroles un base64 kodētās paroles (kuras ir viegli atšifrēt) bija viegli pieejamas datu bāzē.

Īsziņas, kas nosūtītas, izmantojot TrueDialog

Mēs varējām atrast desmitiem miljonu ierakstu no ziņojumiem, kas nosūtīti, izmantojot TrueDialog, un uz platformā mitinātajām sarunām. Šajos īsziņās ietvertie sensitīvie dati ietvēra, bet neaprobežojās ar:

• Saņēmēju vārdi, TrueDialog kontu īpašnieki, & TrueDialog lietotāji
• Ziņojumu saturs
• E-pasta adreses
• Saņēmēju un lietotāju tālruņu numuri
• Ziņu nosūtīšanas datumi un laiki
• Nosūtīto ziņojumu statusa indikatori, piemēram, lasīt kvītis, atbildes utt.
• TrueDialog konta informācija

Atklātie dati bija TrueDialog kontu īpašnieku, lietotāju un desmitiem miljonu Amerikas pilsoņu sajaukums.

Konta lietotāja informācija

Bija simtiem tūkstošu ierakstu ar informāciju par lietotājiem, ieskaitot vārdus, tālruņu numurus, adreses, e-pastus un daudz ko citu.

Tika atrasta arī sīkāka informācija par lietotājiem. Tomēr datu bāzes meklēšanas funkcionalitātes problēmu dēļ bija grūti noteikt precīzu šo ierakstu daudzumu.

Tehniskie žurnāli

Šie žurnāli atklāja svarīgu informāciju par datu bāzes strukturēšanu un pārvaldību. Piemēram, bija simtiem tūkstošu ierakstu, kas dokumentēja saziņu starp dažādiem tālruņu numuriem, kas saistīti ar TrueDialogs mārketinga platformu Eloqua by Oracle.

Datubāzēs mēs atradām arī iekšējās sistēmas kļūdas, kā arī daudzus http pieprasījumus un atbildes, kas nozīmē, ka ikviens, kurš to atrada, varēja redzēt vietnes trafiku. Tas pats par sevi varēja atklāt ievainojamības.

Datu pārkāpumu ietekme

Šīs datu noplūdes ietekme var radīt paliekošu iespaidu desmitiem miljonu lietotāju. Pieejamo informāciju var pārdot gan tirgotājiem, gan surogātpasta izplatītājiem. 

Vietnei TrueDialog

Ievērojama ietekme ir arī pašiem TrueDialog, neņemot vērā, kā tas negatīvi ietekmēs viņu reputāciju.

Viņu konkurenti varēja izpētīt viņu aizmugures pamatus un redzēt, kā uzņēmums tiek vadīts no iekšpuses. Tas viņiem būtu devis veidu, kā kopēt vai uzlabot uzņēmējdarbības modeli, kas TrueDialog ir nesis panākumus. Un tagad, kad TrueDialog neizdevās saglabāt savu klientu datu bāzi, konkurenti var arī izmantot slikto publicitāti, ko saņems zīmols, un pat pārņemt klientus.

Turklāt ar iekšējās sistēmas kļūdu žurnāliem ļaunprātīgi hakeri varētu atrast ievainojamības TrueDialog sistēmā un tās izmantot..

Uzņēmumiem, kas izmanto TrueDialog

Konta pārņemšana

Konta akreditācijas dati tika atstāti ne tikai neaizsargāti, bet arī skaidrā tekstā. Tas nozīmē, ka ikviens, kurš piekļūst datu bāzei, varēs pieteikties uzņēmuma kontā, nomainīt paroli un nodarīt neticami lielu kaitējumu.. 

Korporatīvā spiegošana

Šī ir vēl viena nešifrētas ziņojumu sistēmas kļūda, ko izmanto TrueDialog. Korporatīvajam spiegam būtu viegli lasīt konfidenciālas ziņas, kuras sūtīja konkurējošs uzņēmums. Šajos datos var ietilpt mārketinga kampaņas, jauna produkta ieviešanas datumi, jaunu izstrādājumu dizaini vai specifikācijas un vēl daudz vairāk. 

Ienākumu zaudēšana, ieskaitot Zaudējot potenciālos pircējus

Šī noplūde atklāja arī ierakstus par TrueDialog lietotāju potenciālo klientu pārdošanas potenciālajiem klientiem. Lietotāji pērk pirkumus no ārējām pusēm, un, ja šie potenciālie pircēji noplūst, viņi var zaudēt daudz naudas.

Uzņēmumu klientiem & Studenti

Identitātes zādzība un krāpšana

Krāpnieks daudzām krāpnieciskām shēmām var izmantot ziņās atklāto privāto informāciju, kā arī tajā atklātos vārdus, e-pasta adreses un tālruņu numurus.. 

Pikšķerēšana un izkrāpšana (tālrunis & tiešsaistē)

Pats milzīgais kontaktinformācijas daudzums ir milzīgs ieguvums surogātpasta izplatītājiem. Turklāt atklāta personiskā informācija var izrādīties ļoti vērtīga, lai mērķētu uz indivīdiem reaģēt uz surogātpastu un pikšķerēšanu.

Šantāža

Tā kā viss ziņojuma saturs tiek atklāts skaidri izteiktā tekstā, krāpniekiem būs daudz munīcijas šantāžai. Krāpnieki var izmantot jebkuru personisko informāciju, kuru sūta vai nu klients, vai arī izglītības programmu studenti, un izmantot to, lai izspiestu viņus.   

Ekspertu ieteikumi

TrueDialog varēja viegli izvairīties no šīs noplūdes, ja tā būtu veikusi dažus pamata drošības pasākumus datu bāzes aizsardzībai. Tie ietver (bet ne tikai):

1. Nostipriniet savus serverus.
2. Ieviesiet atbilstošus piekļuves noteikumus.
3. Nekad neatstājiet internetam atvērtu sistēmu, kurai nav nepieciešama autentifikācija.

Jebkurš uzņēmums var atkārtot tās pašas darbības neatkarīgi no tā lieluma.

Lai iegūtu padziļinātu ceļvedi, kā aizsargāt savu biznesu, skatiet mūsu ceļvedi, kā nodrošināt jūsu vietni un tiešsaistes datu bāzi no hakeriem..

TrueDialog lietotājiem

Ja esat TrueDialog klients un uztraucaties par to, kā tieši šis pārkāpums varētu ietekmēt jūs, vai datu neaizsargātību kopumā, izlasiet mūsu pilnīgo tiešsaistes konfidencialitātes rokasgrāmatu.

Tas parāda daudzos veidus, kā kibernoziedznieki mērķē uz interneta lietotājiem, un darbības, kuras varat veikt, lai saglabātu drošību.

Kā un kāpēc mēs atklājām pārkāpumu

Pētniecības grupa vpnMentor atklāja pārkāpumu TrueDialog datu bāzē kā daļu no milzīga tīmekļa kartēšanas projekta. Mūsu pētnieki izmanto portu skenēšanu, lai pārbaudītu noteiktus IP blokus un pārbaudītu, vai sistēmās nav atvērtu caurumu. Viņi pārbauda katru caurumu, vai nav datu noplūdes. 

Atrodot datu pārkāpumu, viņi izmanto ekspertu paņēmienus, lai pārbaudītu datu bāzes identitāti. Pēc tam mēs brīdinām uzņēmumu par pārkāpumu. Ja iespējams, mēs brīdināsim arī tos, kurus skāris pārkāpums.

Mūsu komandai varēja piekļūt šai datu bāzei, jo tā bija pilnīgi nenodrošināta un nešifrēta. 

Uzņēmums izmanto Elasticsearch datu bāzi, kas parasti nav paredzēta URL lietošanai. Tomēr mēs varējām tam piekļūt, izmantojot pārlūkprogrammu, un manipulēt ar URL meklēšanas kritērijiem, atklājot datu bāzes shēmas. 

Šī tīmekļa kartēšanas projekta mērķis ir palīdzēt padarīt internetu drošāku visiem lietotājiem. 

Kā ētiskiem hakeriem mums ir pienākums informēt uzņēmumu, kad mēs atklājam nepilnības viņu tiešsaistes drošībā. Tas jo īpaši attiecas uz gadījumiem, kad uzņēmumu datu pārkāpumos ir šāda privāta informācija.

Tomēr šī ētika nozīmē arī to, ka mēs uzņemamies atbildību sabiedrības priekšā. TrueDialog lietotājiem jāzina par datu pārkāpumiem, kas ietekmē arī viņus.

Par mums un iepriekšējie ziņojumi

vpnMentor ir pasaulē lielākā VPN pārskatu vietne. Mūsu pētījumu laboratorija ir pro bono pakalpojums, kura mērķis ir palīdzēt tiešsaistes kopienai aizstāvēties pret kiberdraudiem, vienlaikus izglītojot organizācijas par savu lietotāju datu aizsardzību. 

Agrāk mēs esam atklājuši milzīgu datu pārkāpumu, atklājot miljoniem Ekvadoras pilsoņu datus. Mēs arī atklājām, ka Biostar 2 pārkāpums apdraudēja vairāk nekā 1 miljona cilvēku biometriskos datus. Varat arī izlasīt mūsu ziņojumu par VPN noplūdi un datu privātuma statistiku.