介绍
在Noam Rotem和Ran Locar的领导下,vpnMentor的研究小组发现了一个属于美国通讯公司TrueDialog的不安全的数据库。
TrueDialog为美国各大企业提供短信解决方案,而该数据库与他们业务的各个方面都有联系,里面包含了大量敏感数据,包括数千万条短信。
而除了短信外,安全团队还发现了数以百万的帐户用户名和密码、TrueDialog用户及其客户的PII数据等等。
TrueDialog公司
TrueDialog总部设在美国德克萨斯州的奥斯汀,已经有十多年的历史了。它专门为大小企业创建短信解决方案,包括群发短信、营销短信、紧急警报、教育短信等等。
目前,TrueDialog与超过990家移动运营商合作,全球用户超过50亿。
发现流程
通过数据库中的api.truedialog.com字段,我们很容易确定TrueDalog就是数据库所有者。这已对超过1亿美国公民的隐私和安全造成威胁。
在确定了数据性质后,我们立刻就联系了这家公司,希望能快速解决这个安全问题。
目前数据库已被关闭,但TrueDialog从未回复我们。
-
发现日期:2019.11.26
-
联系日期:2019.11.28
-
行动日期:2019.11.29
数据库概述
这个TrueDialog数据库由Microsoft Azure托管的,在美国的Oracle Marketing Cloud上运行。上一次查看数据库时,它包含604GB的数据,近10亿条包含敏感数据的记录。
这些数据和TrueDialog业务模型的许多方面都相关联。该公司本身,它的客户群,以及客户的客户的数据都泄露了,这可能会引发潜在的钓鱼攻击。
TrueDialog帐户
数据库中有数百万个电子邮件地址、用户名、明文密码和经过base64编码的密码(很容易被破解)。
通过TrueDialog发送短信
而此次泄露出的数千万条短信所包含的敏感数据包括但不限于:
-
收件人,TrueDialog帐户持有人和TrueDialog用户的全名
-
短信内容
-
电子邮件地址
-
收件人和用户的电话号码
-
发送日期和时间
-
消息状态,例如已读、回复等
-
TrueDialog帐户的详细信息
被泄露的数据包括TrueDialog帐户持有人、用户和数千万美国公民。
系统日志
这些日志揭示了关于数据库结构和管理的重要细节。例如,有成千上万的数据记录了TrueDialogs营销平台(Oracle的Eloqua)和不同电话号码之间的通信。
我们还发现了很多内部系统错误以及http请求和响应,这意味着攻击者可借此获得灵感,从其他角度攻击。
影响
帐户接管
帐户密码不仅不受保护,而且很多都是明文。这意味着攻击者可以登录大量公司帐户,更改密码,造成难以想象的损失。
间谍活动
未加密消息可以让企业间谍轻易就获得竞争对手的机密信息。这些信息可能包括营销活动、新产品的推出日期、新产品设计或规格等等。
潜在客户丢失
TrueDialog的客户的某些购买记录被泄露,这可能会导致大量客户流失。
身份盗窃和诈骗
骗子可以利用暴露的个人信息(全名、电子邮件和电话号码)来实施各种欺诈和钓鱼。
漏洞原因
vpnMentor研究小组是在一个存在未授权漏洞的Elasticsearch数据库上发现这个漏洞的,这是一个大型安全扫描的一部分。虽然Elasticsearch并不是被设计为通过URL进行使用,但我们还是能够通过浏览器直接访问数据。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场 来源:https://www.vpnmentor.com/blog/report-truedialog-leak/?=truedialog-exposed-data
来源:freebuf.com 2019-12-02 17:23:54 by: 白帽汇
请登录后发表评论
注册