ანგარიში: მილიონობით ამერიკელი ემუქრება უზარმაზარი მონაცემებისა და SMS- ის გაჟონვის შემდეგ

Contents

შესავალი

VpnMentor– ის კვლევის ჯგუფის მიერ ნოამ როტემისა და რან ლოკარის ხელმძღვანელობით აღმოაჩინეს დარღვეული მონაცემთა ბაზა, რომელიც ეკუთვნის ამერიკულ საკომუნიკაციო კომპანიას, TrueDialog.

TrueDialog გთავაზობთ SMS ტექსტური გადაწყვეტილებების მიწოდებას აშშ – ს კომპანიებში და ამ მონაცემთა ბაზას უკავშირდება მათი ბიზნესის მრავალი ასპექტი. ეს უდიდესი აღმოჩენა იყო, მასში პირადი მონაცემების დიდი რაოდენობა გამოიფინა, მათ შორის ათობით მილიონი SMS ტექსტური შეტყობინების გაგზავნა. 

ჩვენი პირადი ტექსტური შეტყობინებების გარდა, ჩვენს გუნდმა აღმოაჩინა მილიონობით ანგარიშის სახელი და პაროლები, TrueDialog მომხმარებლებისა და მათი მომხმარებლების PII მონაცემები და მრავალი სხვა.. 

TrueDialog– მა მათი მონაცემთა ბაზის სათანადო უზრუნველყოფით არ დააკოპირა აშშ – ს მასშტაბით მილიონობით ადამიანის უსაფრთხოება და კონფიდენციალურობა.

TrueDialog კომპანიის პროფილი

TrueDialog დაფუძნებულია ოსტინში, ტეხასის შტატში და უკვე 10 წელზე მეტი ხნის განმავლობაში მიმდინარეობს. იგი სპეციალიზირებულია დიდი და მცირე ბიზნესის SMS გადაწყვეტილებების შესაქმნელად. არსებობს რამდენიმე სხვადასხვა SMS პროგრამა, მათ შორის, მასობრივი ტექსტური შეტყობინებების გაგზავნა, SMS მარკეტინგის პარამეტრები, სასწრაფო სიგნალები, განათლების SMS გადაწყვეტა და სხვა. 

ამჟამად TrueDialog მუშაობს 990-ზე მეტი მობილური ტელეფონის ოპერატორთან და აღწევს 5 მილიარდზე მეტ აბონენტს მთელს მსოფლიოში. 

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

ზოგჯერ, ცხადია მონაცემთა დარღვევის ზომა და მონაცემთა მფლობელი, და საკითხი სწრაფად წყდება. მაგრამ ეს ნამდვილად იშვიათობაა, როგორც წესი, ამას რამდენიმე დღის გამოძიება სჭირდება, სანამ გავიგებთ, რა არის ამ ეტაპზე ან ვინ ვინ გამოაქვს მონაცემები.

დარღვევის გაცნობიერებას და რაზეა საუბარი, ფრთხილად ყურადღებას და დროს მოითხოვს. ჩვენ ვცდილობთ გამოქვეყნებას ზუსტი და სანდო ცნობები, ყველას, ვინც წაიკითხავს მათ, ესმის მათი სერიოზულობა.

ზოგი დაზარალებული მხარე უარყოფს ფაქტებს, ჩვენს გამოძიებას არ იშურებს ან გავლენას არ ასრულებს. ამრიგად, ჩვენ უნდა ვიყოთ საფუძვლიანი და დარწმუნდით, რომ ყველაფერი, რაც ჩვენ ვიპოვნეთ, არის სწორი და მართალი.

ამ შემთხვევაში, მარტივი იყო TrueDalog– ის, როგორც მონაცემთა ბაზის მფლობელის იდენტიფიცირება. მათი მასპინძელი პირადობის მოწმობა “api.truedialog.com” იქნა ნაპოვნი მთელს ქვეყანაში. ამასთან, ცხადი იყო, რომ ეს მონაცემების უზარმაზარი დარღვევა იყო, რაც კომპრომეტირდება აშშ-ს ათობით მილიონი მოქალაქის კონფიდენციალურობასა და უსაფრთხოებას.. 

მას შემდეგ რაც ნათელი გახდა TrueDialog– ის მონაცემთა ბაზაში, ჩვენ დავუკავშირდით კომპანიას. ჩვენ გავაანალიზეთ ჩვენი დასკვნები და შევთავაზეთ ჩვენი ექსპერტიზა, რათა დაეხმაროს მათ მონაცემების გაჟონვის დახურვაში და იმის უზრუნველსაყოფად, რომ არავინ ემუქრება რისკს. 

მონაცემთა ბაზა დაიხურა მას შემდეგ, რაც TrueDialog– მა არასოდეს გვიპასუხა. 

  • აღმოჩენილი თარიღი: 26/11/19
  • თარიღი გამყიდველები დაუკავშირდნენ: 28/11/19
  • მოქმედების თარიღი: 29/11/19

მონაცემთა ბაზის მიმოხილვა

TrueDialog მონაცემთა ბაზას მასპინძლობს Microsoft Azure და გადის Oracle Marketing Cloud აშშ – ში. როდესაც ჩვენ ბოლოს შევხედეთ მონაცემთა ბაზას, მასში შედის 604 GB მონაცემი. მასში შედის უაღრესად მგრძნობიარე მონაცემების თითქმის 1 მილიარდი ჩანაწერი, რომელთა დეტალებს ქვემოთ ჩამოვთვლით.

გამოფენილი მონაცემების მაგალითი

ამ მონაცემთა გაჟონვის ზომა კონტექსტად გადაქცევა ძნელია. ათობით მილიონი ადამიანი პოტენციურად გამოიკვეთა მრავალი გზით. იშვიათია, რომ ერთი მონაცემთა ბაზა შეიცავს უზარმაზარ ინფორმაციას, რომელიც ასევე ძალიან მრავალფეროვანია.

მონაცემთა ბაზაში განთავსდა ჩანაწერები, რომლებიც ეხებოდა TrueDialog– ის ბიზნეს მოდელის მრავალ ასპექტს. თავად კომპანია გამოიფინა, თავისი კლიენტის ბაზასთან ერთად და ამ კლიენტების მომხმარებლებთან.   

ამ მონაცემთა ბაზაში მოცემული ინფორმაცია შეიძლება გამოყენებული იქნას მრავალრიცხოვანი გზით იმ ადამიანების მიმართ, რომელთა ინფორმაციასაც ექვემდებარებოდა.

TrueDialog ანგარიშის შესვლა

მილიონობით ელექტრონული ფოსტის მისამართი, სახელი, სახელების განლაგება, პაროლით პაროლები და base64 დაშიფრული პაროლები (რომელთა გაშიფვრა მარტივია) ადვილად ხელმისაწვდომი იყო მონაცემთა ბაზაში.

TrueDialog– ით გაგზავნილი SMS შეტყობინებები

ჩვენ შეგვეძლო ათობით მილიონი ჩანაწერის პოვნა TrueDialog– ით გაგზავნილ შეტყობინებებზე და პლატფორმაზე განთავსებული საუბრების საშუალებით. ამ SMS შეტყობინებებში მოცემული მგრძნობიარე მონაცემები მოიცავდა, მაგრამ არ შემოიფარგლებოდა მხოლოდ:

  • მიმღების სრული სახელები, TrueDialog ანგარიშის მფლობელები, & TrueDialog მომხმარებლები
  • შეტყობინებების შინაარსი
  • Ელექტრონული ფოსტის მისამართები
  • მიმღებისა და მომხმარებლების ტელეფონის ნომრები
  • გაგზავნილი იყო თარიღები და ჯერ შეტყობინებები
  • სტატუსის ინდიკატორები გაგზავნილ შეტყობინებებზე, მაგალითად წაკითხვის ქვითრები, პასუხები და ა.შ..
  • TrueDialog ანგარიშის დეტალები

გამოვლენილი მონაცემები იყო TrueDialog ანგარიშის მფლობელთა, მომხმარებლებისა და ამერიკის ათეულობით მილიონი მოქალაქის ნაზავი.

ანგარიშის მომხმარებლის დეტალები

იყო ასობით ათასი ჩანაწერი, სადაც დეტალები იყო მომხმარებლის შესახებ, მათ შორის სრული სახელები, ტელეფონის ნომრები, მისამართები, ელ.ფოსტა და სხვა.

ასევე იქნა ნაპოვნი მომხმარებლის შესახებ უფრო დეტალური ინფორმაცია. ამასთან, მონაცემთა ბაზის საძიებო ფუნქციონალთან დაკავშირებული პრობლემების გამო, ძნელი იყო ამ ჩანაწერების ზუსტი დადგენა.

ტექნიკური ჟურნალი

ამ ჩანაწერებმა გამოავლინა მნიშვნელოვანი დეტალები, თუ როგორ ხდება მონაცემთა ბაზის სტრუქტურა და მართვა. მაგალითად, იყო ასობით ათასი ჩანაწერი, რომლებმაც დაადასტურეს კომუნიკაცია სხვადასხვა ტელეფონის ნომრებს შორის, რომლებიც უკავშირდება TrueDialogs მარკეტინგის პლატფორმას, Eloqua– ს Oracle– ს მიერ..

ჩვენ ასევე ვიპოვნეთ მონაცემთა ბაზის ჩანაწერებში შიდა სისტემის შეცდომების და მრავალი http მოთხოვნის და პასუხის შესახებ, რაც იმას ნიშნავს, რომ ვინც იპოვა, იხილა საიტის ტრაფიკი. ეს თავისთავად შეიძლება დაუცველობებს დაუყენოს.

მონაცემთა დარღვევის გავლენა

ამ მონაცემთა გაჟონვის გავლენამ შეიძლება გავლენა მოახდინოს ათობით მილიონი მომხმარებლისთვის. ხელმისაწვდომი ინფორმაცია შეიძლება გაიყიდოს როგორც მარკეტინგის, ისე სპამისგან. 

TrueDialog- ისთვის

თვით TrueDialog- სთვის ასევე მნიშვნელოვანი გავლენა აქვს, არა იმაზე, თუ ეს უარყოფითად იმოქმედებს მათ რეპუტაციაზე.

მათ კონკურენტებს შეეძლოთ შეხედონ თავიანთ შაბლონს და დაინახეს, თუ როგორ იმუშავებს კომპანია შიგნიდან. ეს მათ საშუალებას მისცემდა ბიზნეს მოდელის ასლის ან გაუმჯობესების საშუალებას, რაც TrueDialog- მა წარმატება მოუტანა. ახლა კი, როდესაც TrueDialog– მა ვერ შეძლო მომხმარებლის მონაცემთა ბაზის უსაფრთხო დაცვა, მის კონკურენტებს ასევე შეუძლიათ ისარგებლონ ცუდი რეკლამით, რომელსაც ბრენდი აპირებს, და მათ მომხმარებლებზეც კი დაიკავონ.

ასევე, შიდა სისტემის შეცდომების შეცდომით, არასათანადო მოყვარულ ჰაკერებს შეეძლოთ TrueDialog- ის სისტემაში აღმოუჩინონ დაუცველობა და გამოიყენონ ისინი.

TrueDialog– ის გამოყენებით კომპანიებისთვის

ანგარიშის აღებას

ანგარიშის სერთიფიკატები არა მხოლოდ დაუცველი დარჩა, არამედ ტექსტის განმარტებითაც. ეს ნიშნავს, რომ ყველას, ვინც მონაცემთა ბაზაში წვდომას შეძლებდა, შეხვიდეთ კომპანიის ანგარიშზე, შეცვალონ პაროლი და დაუჯერებელი ოდენობის ზიანი მიყენებულიყვნენ. 

კორპორატიული ჯაშუშობა

ეს არის დაუსრულებელი შეტყობინებების სისტემის კიდევ ერთი შედეგი, რომელსაც TrueDialog იყენებს. კორპორატიული ჯაშუშისთვის ადვილი იქნებოდა კონფიდენციალური შეტყობინებების წაკითხვა, რომელიც კონკურენტმა კომპანიამ გაუგზავნა. ამ მონაცემებს შეიძლება მოიცავდეს მარკეტინგული კამპანიები, გამოიტანოთ ახალი პროდუქტის თარიღები, ახალი პროდუქტის დიზაინები ან სპეციფიკა და მრავალი სხვა. 

შემოსავლის დაკარგვა, ჩათვლით ისინი ყიდულობენ ტყვიის დაკარგვას

ამ გაჟონვამ ასევე გამოავლინა ჩანაწერები, რომლებიც დაკავშირებულია გაყიდვებთან დაკავშირებით, TrueDialog მომხმარებელთა პოტენციურ მომხმარებლებზე. მომხმარებლები ყიდულობენ ტყვიებს გარედან და თუ ეს ტყვიები გაჟონვა მოვიდა, მათ შეუძლიათ ფულის დაკარგვა.

კომპანიების მომხმარებლებისთვის & სტუდენტებს

პირადობის ქურდობა და თაღლითობა

სკამერს შეუძლია გამოიყენოს შეტყობინების დეტალები, რომლებიც გამოიფინა შეტყობინებებში, ასევე მასში გამოვლენილი სრული სახელები, ელ.ფოსტა და ტელეფონის ნომრები სხვადასხვა თაღლითობის სქემებისთვის.. 

ფიშინგი და თაღლითობები (ტელეფონი & ინტერნეტით)

საკონტაქტო დეტალების დიდი ნაწილი თავად არის უზარმაზარი აქტივი სპამისგან. უფრო მეტიც, პირადი მონაცემების გამოვლენა შეიძლება ძალიან ღირებული იყოს იმისთვის, რომ ინდივიდებმა მოახდინონ რეაგირება სპამიზე და ფიშინგზე.

შანტაჟი

ყველა ტექსტური შინაარსით, რომელიც გამოქვეყნებულია cleartext- ში, გამგებლებს შანტაჟის მიზნით უამრავი საბრძოლო მასალა მიიღებენ. Scammers– ს შეუძლია გამოიყენოს ნებისმიერი პირადი ინფორმაცია, რომელიც გაგზავნილია როგორც კლიენტის, ან სტუდენტების მიერ საგანმანათლებლო პროგრამებში, და გამოიყენებს მათ მათ გამოსაძიებლად..   

რჩევა ექსპერტებისაგან

TrueDialog მარტივად შეეძლო თავიდან აეცილებინა ეს გაჟონვა, თუკი მან გადაიღო უსაფრთხოების ძირითადი ზომები, მონაცემთა ბაზის დასაცავად. ეს მოიცავს, მაგრამ არ შემოიფარგლება მხოლოდ:

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

ნებისმიერ კომპანიას შეუძლია იგივე ნაბიჯების განმეორება, მიუხედავად მისი ზომისა.

უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დავიცვათ თქვენი ბიზნესი, შეამოწმეთ ჩვენი სახელმძღვანელო, რომ უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან..

TrueDialog მომხმარებლებისთვის

თუ TrueDialog– ის მომხმარებელი ხართ და ხართ შეშფოთებული იმაზე, თუ რამდენად შეიძლება გავლენა მოახდინოს ამ დარღვევამ თქვენზე, ან ზოგადად, მონაცემთა დაუცველობაზე, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ..

ეს გიჩვენებთ მრავალი გზა, რომლითაც კიბერდანაშაულები მიზნად ისახავს ინტერნეტის მომხმარებლებს და ის ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ, რომ უსაფრთხო გახდეთ.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

VpnMentor– ის კვლევის ჯგუფმა აღმოაჩინა დარღვევა TrueDialog– ის მონაცემთა ბაზაში, როგორც უზარმაზარი ვებ – რუქის პროექტის ნაწილი. ჩვენი მკვლევარები იყენებენ პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავე სისტემების ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. 

მონაცემების დარღვევისას, ისინი იყენებენ ექსპერტულ ტექნიკას მონაცემთა ბაზის პირადობის დასადგენად. ამის შემდეგ ჩვენ ვაფრთხილებთ კომპანიას დარღვევის შესახებ. თუ ეს შესაძლებელია, ჩვენ ასევე შეგვაფრთხილებთ დარღვევის შედეგად დაზარალებულებს.

ჩვენმა გუნდმა შეძლო ამ მონაცემთა ბაზაში წვდომა, რადგან იგი მთლიანად დაუცველი იყო და არაგნიფიცირებული. 

კომპანია იყენებს Elasticsearch მონაცემთა ბაზას, რომელიც ჩვეულებრივ არ არის შექმნილი URL– ის გამოყენებისთვის. ამასთან, ჩვენ შევძელით მას ბრაუზერის საშუალებით წვდომა და URL ძიების კრიტერიუმების მანიპულირება მონაცემთა ბაზის სქემების გამოვლენაში. 

ამ ვებ – რუკების პროექტის მიზანია ინტერნეტი უსაფრთხო იყოს მომხმარებლის ყველა მომხმარებლისთვის. 

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებული ვართ შევატყობინოთ კომპანიას, როდესაც მათ უსაფრთხოების დაცვაში აღმოვაჩენთ ხარვეზებს. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიების მონაცემების დარღვევა შეიცავს ასეთ პირად ინფორმაციას.

ამასთან, ეს ეთიკა იმას ნიშნავს, რომ ჩვენ პასუხისმგებლობას ვკისრებთ საზოგადოებას. TrueDialog მომხმარებლებმა უნდა იცოდნენ მონაცემთა დარღვევა, რაც მათზეც აისახება.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უდიდესი VPN მიმოხილვის ვებ – გვერდი. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ატარებს საკუთარი მომხმარებლების მონაცემების დაცვაში.. 

წარსულში, ჩვენ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რომელიც გამოავლენს ევოლუციის მილიონობით მოქალაქის მონაცემებს. ჩვენ ასევე აღმოვაჩინეთ, რომ ბიოსტარ 2-ში დარღვეულმა ზიზღმა გამოიწვია 1 მილიონზე მეტი ადამიანის ბიომეტრიული მონაცემები. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me