العثور على قاعدة بيانات تحتوي عشرات الملايين من رسائل SMS
عثر باحثان أمنيان من شركة (في بي إن منتور) vpnMentor على قاعدة بيانات ضخمة مكشوفة على الإنترنت، وهي تحتوي عشرات الملايين من الرسائل النصية القصيرة SMS، التي أُرسل معظمها من قبل الشركات إلى العملاء المحتملين.
وأوضح الباحثان أن قاعدة البيانات المكشوفة تُشغَّل من قِبل TrueDialog، وهي مزودة لخدمة الرسائل النصية القصيرة للشركات ومزودي خدمات التعليم العالي، وتتيح خدمتها للشركات والكليات والجامعات إرسال رسائل نصية جماعية إلى عملائها وطلابهم.
وتقول الشركة التي مقرها مدينة أوستن بولاية تكساس الأمريكية: إن إحدى مزايا خدمتها هي أنه يمكن للمستلمين أيضًا إعادة الرسائل النصية، مما يسمح لهم بإجراء محادثات ثنائية الاتجاه مع العلامات التجارية أو الشركات.
واحتوت قاعدة البيانات المسربة على سنوات من الرسائل النصية المرسلة والمستلمة من العملاء وعُولجت من قبل TrueDialog. ولكن نظرًا لأن قاعدة البيانات لم تكن محمية على الإنترنت بكلمة مرور، فلم تُشفَّر أي من البيانات، ويمكن لأي شخص البحث عنها.
وكان الباحثان الأمنيان (نوام روتم)، و(ران لوكار) هما من عثرا على قاعدة البيانات المكشوفة حديثًا، وذلك في إطار جهود المسح على الإنترنت.
وقال موقع (تك كرنتش) TechCrunch المتخصص في شؤون التقنية: إنه فحص جزءًا من البيانات، التي تتضمن سجلات مفصلة للرسائل المرسلة من قبل العملاء الذين استخدموا نظام TrueDialog، بما في ذلك: أرقام الهواتف، ومحتويات الرسائل النصية القصيرة. وتحتوي قاعدة البيانات على معلومات عن الطلبات المالية للجامعة، ورسائل التسويق من الشركات مع رموز الخصم، وتنبيهات الوظائف، إضافةً إلى أشياء أخرى.
ولكن البيانات احتوت أيضًا على رسائل نصية حساسة، مثل: أكواد المصادقة الثنائية ورسائل أمنية أخرى، والتي ربما سمحت لأي شخص يشاهد البيانات بالوصول إلى حسابات الشخص عبر الإنترنت. وقال موقع (تك كرنتش): “العديد من الرسائل التي راجعناها تحتوي على رموز للوصول إلى الخدمات الطبية عبر الإنترنت، وإعادة تعيين كلمة المرور، ورموز تسجيل الدخول للمواقع، بما في ذلك: حسابات فيسبوك، وجوجل”.
وتضمنت البيانات أيضًا أسماء مستخدمين وكلمات مرور لعملاء TrueDialog، والتي إن استُخدمت كان من الممكن استخدامها للوصول إلى حساباتهم وانتحال شخصياتهم.
يُشار إلى أن شركة TrueDialog تعد واحدة من بين العديد من مزودي خدمة الرسائل القصيرة الذين تركوا في الأشهر الأخيرة أنظمة – ورسائل نصية حساسة – على الإنترنت دون حماية ليتمكن أي شخص من الوصول إليها.
ويحذر خبراء أمنيون من أن الرسائل النصية القصيرة قد تكون مريحة، إلا أنها ليست وسيلة آمنة للتواصل – خاصة بالنسبة للبيانات الحساسة، مثل إرسال أكواد المصادقة الثنائية.
رد مع اقتباس