Raporti: Miliona Amerikanë në rrezik pas rrjedhjeve të mëdha dhe SMS
Prezantimi
Udhëhequr nga Noam Rotem dhe Ran Locar, ekipi hulumtues i vpnMentor zbuloi një bazë të dhënash të shkelur që i përket kompanisë amerikane të komunikimit, TrueDialog.
TrueDialog ofron zgjidhje për tekstin me SMS për kompanitë në SH.B.A. dhe baza e të dhënave në fjalë ishte e lidhur me shumë aspekte të biznesit të tyre. Ky ishte një zbulim i madh, me një sasi masive të të dhënave private të ekspozuara, përfshirë dhjetëra miliona mesazhe me tekst SMS.
Përveç mesazheve me tekste private, ekipi ynë zbuloi miliona emra përdoruesish dhe fjalëkalimesh, të dhëna PII të përdoruesve të TrueDialog dhe klientëve të tyre, dhe shumë më tepër.
Duke mos e siguruar si duhet bazën e të dhënave të tyre, TrueDialog rrezikoi sigurinë dhe privatësinë e miliona njerëzve në të gjithë SHBA.
Profili i Kompanisë TrueDialog
TrueDialog është i vendosur në Austin, Texas USA, dhe ka rreth e rrotull për më shumë se 10 vjet. Specialshtë specializuar në krijimin e zgjidhjeve SMS për bizneset e mëdha dhe të vogla. Ekzistojnë disa programe të ndryshme SMS përfshirë mesazhe në tekst, masa për marketing, opsione urgjente, një zgjidhje për SMS arsimore, dhe më shumë.
Aktualisht, TrueDialog punon me mbi 990 operatorë të telefonisë celulare dhe arrin më shumë se 5 miliardë abonentë në të gjithë botën.
Afati kohor i zbulimit dhe reagimit të pronarit
Ndonjëherë, shkalla e një shkelje të të dhënave dhe pronarit të të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por kjo është me të vërtetë një gjë e rrallë, zakonisht duhen disa ditë hetime para se të kuptojmë se çfarë është në diskutim ose kush po zbulon të dhënat.
Kuptimi i një shkelje dhe ajo që është në diskutim merr vëmendje dhe kohë të kujdesshme. Ne punojmë shumë për t’i botuar raporte të sakta dhe të besueshme, duke siguruar që të gjithë ata që i lexojnë ata e kuptojnë seriozitetin e tyre.
Disa palë të prekura mohojnë faktet, duke mos marrë parasysh hulumtimin tonë ose duke minimizuar ndikimin e tij. Pra, duhet të jemi të plotë dhe sigurohuni që gjithçka që ne të gjeni është e saktë dhe e vërtetë.
Në këtë rast, ishte mjaft e lehtë të identifikohej TrueDalog si pronar i bazës së të dhënave. ID e tyre pritës “api.truedialog.com” u gjet në të gjithë. Sidoqoftë, ishte gjithashtu e qartë se kjo ishte një shkelje e madhe e të dhënave, duke kompromentuar privatësinë dhe sigurinë e dhjetëra miliona qytetarëve amerikanë në të gjithë vendin.
Pasi që masa e plotë e asaj që ishte ekspozuar në bazën e të dhënave të TrueDialog të ishte e qartë, ne kontaktuam kompaninë. Ne shpalosëm gjetjet tona dhe ofruam ekspertizën tonë për t’i ndihmuar ata të mbyllin rrjedhjen e të dhënave dhe të sigurohemi që askush të mos ekspozohet ndaj rrezikut.
Baza e të dhënave ka qenë e mbyllur, por TrueDialog nuk na është përgjigjur kurrë.
- Data e zbuluar: 26/11/19
- Kontaktorët e datës kontaktuan: 28/11/19
- Data e veprimit: 29/11/19
Pasqyrë e bazës së të dhënave
Baza e të dhënave TrueDialog është pritur nga Microsoft Azure dhe funksionon në Oracle Marketing Cloud në Sh.B.A. Kur shikuam për herë të fundit në bazën e të dhënave, ajo përfshinte 604 GB të dhëna. Kjo përfshin gati 1 miliard shënime të të dhënave shumë të ndjeshme, të cilat do t’i detajojmë më poshtë.
Shembull i të dhënave të ekspozuara
Shtë e vështirë të vendosni madhësinë e kësaj rrjedhje të të dhënave në kontekst. Dhjetëra miliona njerëz u ekspozuan potencialisht në një numër mënyrash. Shtë e rrallë që një bazë e të dhënave të përmbajë një vëllim kaq të madh informacioni që është gjithashtu shumë i larmishëm.
Baza e të dhënave përmbante hyrje që kishin të bënin me shumë aspekte të modelit të biznesit të TrueDialog. Vetë kompania ishte e ekspozuar, së bashku me bazën e klientit të saj, dhe klientët e atyre klientëve.
Informacioni i përfshirë në këtë bazë të të dhënave mund të ishte përdorur në mënyra të panumërta kundër njerëzve, informacioni i të cilëve ishte ekspozuar.
Logins llogari TrueDialog
Miliona adresa të postës elektronike, emrat e përdoruesve, fjalëkalimet sqaruese dhe fjalëkalimet e koduar të bazës64 (të cilat mund të deshifrohen lehtë) ishin lehtësisht të arritshme brenda bazës së të dhënave.
Mesazhe SMS të dërguara përmes TrueDialog
Ne ishim në gjendje të gjenim dhjetëra miliona hyrje nga mesazhet e dërguara përmes TrueDialog dhe bisedave të mbajtura në platformë. Të dhënat e ndjeshme të përfshira në këto mesazhe SMS përfshijnë, por nuk kufizoheshin vetëm në:
- Emrat e plotë të marrësve, mbajtësit e llogarive TrueDialog, & Përdoruesit e TrueDialog
- Përmbajtja e mesazheve
- Adresat e postës elektronike
- Numrat e telefonit të marrësve dhe përdoruesve
- Datat dhe kohërat u dërguan mesazhe
- Treguesit e statusit në mesazhet e dërguara, si Lexoni dëftesat, përgjigjet, etj.
- Detajet e llogarisë TrueDialog
Të dhënat e ekspozuara ishin një përzierje e mbajtësve të llogarive TrueDialog, përdoruesve dhe dhjetëra miliona qytetarëve amerikanë.
Detajet e përdoruesit të llogarisë
Kishte qindra mijëra hyrje me detaje rreth përdoruesve, përfshirë emrat e plotë, numrat e telefonit, adresat, postat elektronike dhe më shumë.
Kishte edhe disa informacione më të hollësishme të përdoruesit që u gjetën. Sidoqoftë, për shkak të problemeve me funksionalitetin e kërkimit të bazës së të dhënave, ishte e vështirë të vlerësohej sasia e saktë e këtyre shënimeve.
Shkrime teknike
Këto shkrime zbuluan detaje të rëndësishme për mënyrën e strukturimit dhe menaxhimit të bazës së të dhënave. Për shembull, kishte qindra mijëra hyrje që dokumentuan komunikimin midis numrave të ndryshëm të telefonit të lidhur me platformën e marketingut TrueDialogs, Eloqua nga Oracle.
Ne gjithashtu gjetëm në regjistrat e bazave të të dhënave për gabime të sistemit të brendshëm, si dhe shumë kërkesa dhe përgjigje të http, që do të thotë se kushdo që e gjente mund të shihte trafikun e faqes. Kjo në vetvete mund të kishte ekspozuar dobësi.
Ndikimi i thyerjes së të dhënave
Ndikimi i kësaj rrjedhje të të dhënave mund të ketë një përshtypje të qëndrueshme për dhjetëra miliona përdorues. Informacioni i disponueshëm mund të shitet si për marketing, ashtu edhe për spammers.
Për TrueDialog
Ekziston gjithashtu një ndikim domethënës për vetë TrueDialog, duke mos përfshirë sesi kjo do të ndikojë negativisht në reputacionin e tyre.
Konkurrentët e tyre mund të kishin marrë një vështrim në sfondin e tyre dhe të shohin se si drejtohet ndërmarrja nga brenda. Kjo do t’u jepte atyre një mënyrë për të kopjuar ose përmirësuar modelin e biznesit që i ka sjellë sukses TrueDialog. Dhe tani që TrueDialog dështoi në mbajtjen e të dhënave të klientëve të tij të sigurt, konkurrentët e tij gjithashtu mund të përfitojnë nga reklamimi i keq që do të marrë marka, dhe madje do të marrin përsipër klientët e tyre.
Gjithashtu, me regjistrat e gabimeve të sistemit të brendshëm, hakerët me qëllim të keq mund të gjenin dobësi në sistemin e TrueDialog dhe t’i shfrytëzonin ato.
Për ndërmarrjet që përdorin TrueDialog
Marrja e llogarisë
Kredencialet e llogarisë nuk mbetën vetëm të pambrojtur por edhe në sqarim. Kjo do të thotë që kushdo që ka hyrë në bazën e të dhënave do të jetë në gjendje të regjistrohet në llogarinë e kompanisë, të ndryshojë fjalëkalimin dhe të bëjë një shumë të jashtëzakonshme të dëmtimit.
Spiunazhi i korporatave
Ky është një tjetër rezultat i sistemit të mesazheve të pakriptuara që përdor TrueDialog. Do të ishte e lehtë për një spiun të korporatës të lexonte mesazhe konfidenciale që u dërguan nga një kompani rivale. Këto të dhëna mund të përfshijnë fushatat e marketingut, të plotësojnë datat për një produkt të ri, modelet ose specifikimet e produkteve të reja dhe shumë më tepër.
Humbja e të ardhurave, incl. Humbja e çon ata blejnë
Kjo rrjedhje gjithashtu ekspozoi rekorde në lidhje me rezultatet e shitjeve për klientët e mundshëm të përdoruesve të TrueDialog. Përdoruesit janë duke blerë drejtime nga palët e jashtme dhe nëse këto rezultate do të vijnë, ata mund të humbasin shumë para.
Për klientët e ndërmarrjeve & studentët
Vjedhje identiteti dhe mashtrimi
Një mashtrues mund të përdorë detajet private që ishin të ekspozuara në mesazhe, si dhe emrat e plotë, postat elektronike dhe numrat e telefonit të ekspozuar në të për një sërë skemash mashtruese.
Phishing dhe Mashtrime (telefon & Online)
Sasia e madhe e detajeve të kontaktit në vetvete është një pasuri e madhe për spammers. Për më tepër, detajet personale të ekspozuara mund të dëshmojnë shumë të vlefshme në mënyrë që t’i synojnë individët t’i përgjigjen spamit dhe phishing.
shantazh
Me gjithë përmbajtjen e mesazhit të ekspozuar në sqarim, përhapësit do të kenë shumë municion për shantazh. Scammers mund të përdorë cilindo nga informacionet personale që u dërgohet nga klienti, ose studentët në programet e Arsimit, dhe ta përdorin atë për t’i zhvatur ato.
Këshilla nga ekspertët
TrueDialog mund të kishte shmangur lehtësisht këtë rrjedhje nëse do të kishte marrë disa masa themelore të sigurisë për të mbrojtur bazën e të dhënave. Këto përfshijnë, por nuk kufizohen vetëm në:
- Siguroni serverat tuaj.
- Zbatimi i rregullave të duhura të hyrjes.
- Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.
Do kompani mund të kopjojë të njëjtat hapa, pavarësisht nga madhësia e saj.
Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni udhëzuesin tonë për të siguruar faqen tuaj të internetit dhe bazën e të dhënave online nga hakerat.
Për përdoruesit e TrueDialog
Nëse jeni një klient i TrueDialog dhe i shqetësuar se si kjo shkelje mund të ndikojë në mënyrë specifike tek ju, ose nga dobësitë e të dhënave në përgjithësi, lexoni udhëzuesin tonë të plotë për privatësinë në internet.
Kjo ju tregon shumë mënyra se si kriminelët kibernetikë synojnë përdoruesit e internetit dhe hapat që mund të ndërmerrni për të qëndruar të sigurt.
Si dhe pse e zbuluam shkeljen
Ekipi i kërkimit vpnMentor zbuloi shkeljen në bazën e të dhënave të TrueDialog, si pjesë e një projekti të madh hartografie në internet. Studiuesit tanë përdorin skanimin e portit për të ekzaminuar blloqe të veçanta IP dhe për të provuar vrimat e hapura në sisteme për dobësitë. Ata ekzaminojnë secilën vrimë për të dhënat që dalin.
Kur ata zbulojnë një shkelje të të dhënave, ata përdorin teknika ekspertësh për të verifikuar identitetin e bazës së të dhënave. Ne pastaj njoftojmë kompaninë për shkeljen. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja.
Ekipi ynë ishte në gjendje të hynte në këtë bazë të dhënash sepse ishte plotësisht i pasigurt dhe i pakriptuar.
Kompania përdor një bazë të dhënash Elasticsearch, e cila zakonisht nuk është krijuar për përdorim URL. Sidoqoftë, ne kemi qenë në gjendje t’i qasemi asaj përmes shfletuesit dhe të manipulojmë kriteret e kërkimit të URL-së në ekspozimin e skemës së bazës së të dhënave.
Qëllimi i këtij projekti hartografie në internet është të ndihmojë në bërjen e internetit më të sigurt për të gjithë përdoruesit.
Si hakerë etikë, ne jemi të detyruar të informojmë një kompani kur zbulojmë të meta në sigurinë e tyre në internet. Kjo është veçanërisht e vërtetë kur shkelja e të dhënave të kompanive përmban një informacion të tillë privat.
Sidoqoftë, këto etikë nënkuptojnë gjithashtu që mbajmë një përgjegjësi para publikut. Përdoruesit e TrueDialog duhet të jenë të vetëdijshëm për një shkelje të dhënash që ndikon gjithashtu në to.
Rreth nesh dhe raportet e mëparshme
vpnMentor është uebfaqja më e madhe në botë për shqyrtimin e VPN-së. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.
Në të kaluarën, ne kemi zbuluar një shkelje të madhe të të dhënave duke ekspozuar të dhënat e miliona qytetarëve ekuadore. Ne gjithashtu zbuluam se një shkelje në Biostar 2 komprometoi të dhënat biometrike të mbi 1 milion njerëzve. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.