美国短信服务商TrueDialog泄露近十亿条敏感信息 – 作者:白帽汇

22.png

介绍

在Noam Rotem和Ran Locar的领导下,vpnMentor的研究小组发现了一个属于美国通讯公司TrueDialog的不安全的数据库。

TrueDialog为美国各大企业提供短信解决方案,而该数据库与他们业务的各个方面都有联系,里面包含了大量敏感数据,包括数千万条短信。

而除了短信外,安全团队还发现了数以百万的帐户用户名和密码、TrueDialog用户及其客户的PII数据等等。

TrueDialog公司

TrueDialog总部设在美国德克萨斯州的奥斯汀,已经有十多年的历史了。它专门为大小企业创建短信解决方案,包括群发短信、营销短信、紧急警报、教育短信等等。

目前,TrueDialog与超过990家移动运营商合作,全球用户超过50亿。

发现流程

通过数据库中的api.truedialog.com字段,我们很容易确定TrueDalog就是数据库所有者。这已对超过1亿美国公民的隐私和安全造成威胁。

在确定了数据性质后,我们立刻就联系了这家公司,希望能快速解决这个安全问题。

目前数据库已被关闭,但TrueDialog从未回复我们。

  • 发现日期:2019.11.26

  • 联系日期:2019.11.28

  • 行动日期:2019.11.29

数据库概述

这个TrueDialog数据库由Microsoft Azure托管的,在美国的Oracle Marketing Cloud上运行。上一次查看数据库时,它包含604GB的数据,近10亿条包含敏感数据的记录。

这些数据和TrueDialog业务模型的许多方面都相关联。该公司本身,它的客户群,以及客户的客户的数据都泄露了,这可能会引发潜在的钓鱼攻击。

TrueDialog帐户

数据库中有数百万个电子邮件地址、用户名、明文密码和经过base64编码的密码(很容易被破解)。

33.png

通过TrueDialog发送短信

而此次泄露出的数千万条短信所包含的敏感数据包括但不限于:

  • 收件人,TrueDialog帐户持有人和TrueDialog用户的全名

  • 短信内容

  • 电子邮件地址

  • 收件人和用户的电话号码

  • 发送日期和时间

  • 消息状态,例如已读、回复等

  • TrueDialog帐户的详细信息

被泄露的数据包括TrueDialog帐户持有人、用户和数千万美国公民。

44.png

系统日志

这些日志揭示了关于数据库结构和管理的重要细节。例如,有成千上万的数据记录了TrueDialogs营销平台(Oracle的Eloqua)和不同电话号码之间的通信。

55.png

我们还发现了很多内部系统错误以及http请求和响应,这意味着攻击者可借此获得灵感,从其他角度攻击。

影响

帐户接管

帐户密码不仅不受保护,而且很多都是明文。这意味着攻击者可以登录大量公司帐户,更改密码,造成难以想象的损失。

间谍活动

未加密消息可以让企业间谍轻易就获得竞争对手的机密信息。这些信息可能包括营销活动、新产品的推出日期、新产品设计或规格等等。

潜在客户丢失

TrueDialog的客户的某些购买记录被泄露,这可能会导致大量客户流失。

66.png

身份盗窃和诈骗

骗子可以利用暴露的个人信息(全名、电子邮件和电话号码)来实施各种欺诈和钓鱼。

漏洞原因

vpnMentor研究小组是在一个存在未授权漏洞的Elasticsearch数据库上发现这个漏洞的,这是一个大型安全扫描的一部分。虽然Elasticsearch并不是被设计为通过URL进行使用,但我们还是能够通过浏览器直接访问数据。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.vpnmentor.com/blog/report-truedialog-leak/?=truedialog-exposed-data

来源:freebuf.com 2019-12-02 17:23:54 by: 白帽汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论