Gyurkity Péter
Üzleti SMS-ek milliói szivárogtak ki
A biztonság hiánya több tízmillió felhasználót érinthet.
A napokban újabb figyelmeztető jelet kaptak azok, akik a mobilos biztonsági intézkedések alacsony szintje, illetve teljes hiánya miatt aggódnak, bár ez a jelek szerint sajnos együtt jár az adott technológiák univerzálissá válásával. Egy üzleti kliensekre szakosodott cég adatbázisából szöveges üzenetek tízmillió szivárogtak ki, ezekhez pedig szinte bárki hozzáférhetett.
Az érdekes beszámoló egy szintén amerikai, a VPN-hálózatok rangsorolására fókuszáló csoporttól származik, amely meglehetősen könnyedén bukkant a nem biztonságos adatbázisra, abban pedig a szöveges üzenetek millióira. Magyarázatuk szerint a szóban forgó adatbázis sem a megfelelő biztonsági szinttel, sem pedig titkosítással nem rendelkezett, így az abban megtalálható SMS-ek tízmilliói, pontosabban mintegy 1 milliárd bejegyzés, illetve összesen nagyjából 604 GB adat egyszerű módon hozzáférhető volt, itt pedig nemcsak a küldő és a fogadó fél teljes neve, hanem az üzenetek teljes tartalma is megjelent, így felhasználók millióit érintheti a biztonsági sebezhetőség.
Az adatbázist a TrueDialog nevű, Texasban székelő cég kezeli, amely egy teljes évtizede áll az üzleti ügyfelek és szervezetek rendelkezésére, ők ugyanis a tömeges üzenetküldésre fókuszálnak, ebben nyújtanak segítséget, ha az adott ügyfél egy nagyobb létszámú csoportot igyekszik elérni SMS-eivel. Itt viszonylag könnyű volt ráakadni a tulajdonosra, hiszen ennek kilétére az „api.truedialog.com” cím is azonnal utalt, azt azonban még nem sikerült kideríteni, hogy a sebezhetőség (pontosabban az elérhetőség) ideje alatt pontosan kik és milyen módon férhettek hozzá az adatokhoz. Arra egyelőre nincs közvetlen bizonyíték, hogy ezt illetéktelen személyek és csoportok kihasználták, tekintettel azonban arra, hogy a cég csaknem ezer telefonos operátorral dolgozik együtt, globálisan pedig mintegy 5 milliárd személyt érhetnek el, ennek esélye viszonylag nagy.
A cég három nappal a bejelentést követően lezárta az adatbázist, ehhez tehát már nem férhetnek hozzá, viszont a jelek szerint nem léptek kapcsolatba az eredeti beszámolót közzétevő szervezettel, így további részletek sem derültek ki az ügyről.
A napokban újabb figyelmeztető jelet kaptak azok, akik a mobilos biztonsági intézkedések alacsony szintje, illetve teljes hiánya miatt aggódnak, bár ez a jelek szerint sajnos együtt jár az adott technológiák univerzálissá válásával. Egy üzleti kliensekre szakosodott cég adatbázisából szöveges üzenetek tízmillió szivárogtak ki, ezekhez pedig szinte bárki hozzáférhetett.
Az érdekes beszámoló egy szintén amerikai, a VPN-hálózatok rangsorolására fókuszáló csoporttól származik, amely meglehetősen könnyedén bukkant a nem biztonságos adatbázisra, abban pedig a szöveges üzenetek millióira. Magyarázatuk szerint a szóban forgó adatbázis sem a megfelelő biztonsági szinttel, sem pedig titkosítással nem rendelkezett, így az abban megtalálható SMS-ek tízmilliói, pontosabban mintegy 1 milliárd bejegyzés, illetve összesen nagyjából 604 GB adat egyszerű módon hozzáférhető volt, itt pedig nemcsak a küldő és a fogadó fél teljes neve, hanem az üzenetek teljes tartalma is megjelent, így felhasználók millióit érintheti a biztonsági sebezhetőség.
Az adatbázist a TrueDialog nevű, Texasban székelő cég kezeli, amely egy teljes évtizede áll az üzleti ügyfelek és szervezetek rendelkezésére, ők ugyanis a tömeges üzenetküldésre fókuszálnak, ebben nyújtanak segítséget, ha az adott ügyfél egy nagyobb létszámú csoportot igyekszik elérni SMS-eivel. Itt viszonylag könnyű volt ráakadni a tulajdonosra, hiszen ennek kilétére az „api.truedialog.com” cím is azonnal utalt, azt azonban még nem sikerült kideríteni, hogy a sebezhetőség (pontosabban az elérhetőség) ideje alatt pontosan kik és milyen módon férhettek hozzá az adatokhoz. Arra egyelőre nincs közvetlen bizonyíték, hogy ezt illetéktelen személyek és csoportok kihasználták, tekintettel azonban arra, hogy a cég csaknem ezer telefonos operátorral dolgozik együtt, globálisan pedig mintegy 5 milliárd személyt érhetnek el, ennek esélye viszonylag nagy.
A cég három nappal a bejelentést követően lezárta az adatbázist, ehhez tehát már nem férhetnek hozzá, viszont a jelek szerint nem léptek kapcsolatba az eredeti beszámolót közzétevő szervezettel, így további részletek sem derültek ki az ügyről.