นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลขนาดใหญ่ที่ถูกเปิดเผยทางออนไลน์ ซึ่งประกอบด้วย SMS หลายสิบล้านข้อความที่บริษัทต่างๆ ส่งไปยังผู้มีโอกาสเป็นลูกค้า
ฐานข้อมูลได้รับการจัดการโดยผู้ให้บริการ SMS ระดับองค์กรชื่อ TrueDialog ซึ่งช่วยให้องค์กรและมหาวิทยาลัยสามารถส่งข้อความจำนวนมากไปยังลูกค้าและนักศึกษาได้ อย่างไรก็ตาม บริการนี้ยังช่วยให้ผู้รับข้อความเหล่านี้สามารถส่งข้อความเพื่อให้สามารถสนทนากลับไปกลับมากับบริษัทเหล่านี้ได้
ฐานข้อมูล TrueDialog มีข้อความ SMS ที่ลูกค้าส่งและรับเป็นเวลาหลายปี เนื่องจากฐานข้อมูลถูกปล่อยไว้ทางออนไลน์อย่างไม่ปลอดภัยโดยไม่ต้องใช้รหัสผ่าน ใครๆ จึงสามารถดูข้อความที่ไม่ได้เข้ารหัสเหล่านี้ได้
การค้นพบฐานข้อมูลที่ถูกเปิดเผยครั้งแรกนั้นจัดทำโดย Noam Rotem และ Ran Locar จากทีมวิจัย vpnMentor
เนื้อหาของฐานข้อมูล
หลังจากตรวจสอบข้อมูลที่เปิดเผยบางส่วนแล้ว TechCrunch พบว่าข้อมูลดังกล่าวมีบันทึกรายละเอียดของข้อความที่ส่งโดยลูกค้า TrueDialog รวมถึงหมายเลขโทรศัพท์และเนื้อหาในข้อความของพวกเขา
ฐานข้อมูลประกอบด้วยข้อความการตลาดขององค์กร การแจ้งเตือนงาน และข้อเสนออื่นๆ ที่ส่งถึงลูกค้า แต่ยังเก็บข้อความที่ละเอียดอ่อน เช่น รหัสการตรวจสอบสิทธิ์ ไว้ในเวลาเดียวกัน สองปัจจัยและข้อความด้านความปลอดภัย การใช้ข้อมูลที่มีอยู่ในข้อความเหล่านี้ ใครๆ ก็สามารถพยายามเข้าถึงบัญชีออนไลน์ของผู้ใช้ได้
ข้อมูลยังมีชื่อผู้ใช้และรหัสผ่านของลูกค้า TrueDialog ซึ่งสามารถนำไปใช้ในการเข้าถึงและปลอมแปลงบัญชีของพวกเขาได้
การค้นพบที่น่าแปลกใจอีกประการหนึ่งคือการสนทนาด้วยข้อความสองทางบางส่วนมีรหัสการสนทนาที่ไม่ซ้ำใคร เมื่อใช้รหัสนี้ ใครๆ ก็สามารถอ่านการสนทนาต่อเนื่องทั้งหมดระหว่างบริษัทและลูกค้าของตนได้
นี่เป็นเพียงกรณีล่าสุดของฐานข้อมูลที่ไม่ได้รับการปกป้องทางออนไลน์ แต่ยังแสดงให้เห็นว่าข้อความ SMS ไม่ได้ให้วิธีการที่ปลอดภัยในการส่งข้อมูลที่สำคัญ เช่น รหัสการตรวจสอบสิทธิ์แบบสองปัจจัย
ผ่านทาง TechCrunch