डेटाबेस सुरक्षा चूक में लाखों एसएमएस संदेश उजागर हुए

Posted on by thelifeofpsi

एक विशाल डेटाबेस में लाखों एसएमएस पाठ संदेशों को संग्रहीत किया जाता है, जिनमें से अधिकांश संभावित ग्राहकों को व्यवसायों द्वारा भेजे गए थे, ऑनलाइन पाए गए हैं।

डेटाबेस TrueDialog द्वारा संचालित किया जाता है, जो व्यवसायों और उच्च शिक्षा प्रदाताओं के लिए एक व्यावसायिक एसएमएस प्रदाता है, जो कंपनियों, कॉलेजों और विश्वविद्यालयों को अपने ग्राहकों और छात्रों को थोक पाठ संदेश भेजने की सुविधा देता है। ऑस्टिन, टेक्सास स्थित कंपनी का कहना है कि इसकी सेवा का एक फायदा यह है कि प्राप्तकर्ता वापस पाठ भी कर सकते हैं, जिससे उन्हें ब्रांडों या व्यवसायों के साथ दो-तरफ़ा बातचीत करने की अनुमति मिलती है।

डेटाबेस ने अपने ग्राहकों से भेजे गए और प्राप्त पाठ संदेश को संग्रहीत किया और TrueDialog द्वारा संसाधित किया गया। लेकिन क्योंकि डेटाबेस को पासवर्ड के बिना इंटरनेट पर असुरक्षित छोड़ दिया गया था, कोई भी डेटा एन्क्रिप्ट नहीं किया गया था और कोई भी अंदर देख सकता था।

सुरक्षा शोधकर्ताओं नोम रोटम और रान लोकार ने इस महीने की शुरुआत में अपने इंटरनेट स्कैनिंग प्रयासों के हिस्से के रूप में उजागर डेटाबेस पाया।

ने डेटा के एक हिस्से की जांच की, जिसमें ग्राहकों द्वारा भेजे गए संदेशों के विस्तृत लॉग थे, जिनमें TrueDialog के सिस्टम का उपयोग किया गया था, जिसमें फ़ोन नंबर और एसएमएस संदेश सामग्री शामिल हैं। डेटाबेस में अन्य बातों के अलावा, विश्वविद्यालय के वित्त अनुप्रयोगों, छूट कोड वाले व्यवसायों से विपणन संदेश और नौकरी अलर्ट के बारे में जानकारी थी।

संदेशों की समीक्षा

लेकिन डेटा में संवेदनशील पाठ संदेश भी थे, जैसे कि दो-कारक कोड और अन्य सुरक्षा संदेश, जिसने किसी व्यक्ति के ऑनलाइन खातों तक पहुंच प्राप्त करने के लिए डेटा को देखने की अनुमति दी हो सकती है। हमने जिन संदेशों की समीक्षा की उनमें से कई में फ़ेसबुक और Google खातों सहित साइटों के लिए ऑनलाइन रीसेट करने और पासवर्ड रीसेट करने और लॉगिन कोड प्राप्त करने के लिए कोड शामिल हैं।

डेटा में TrueDialog के ग्राहकों के उपयोगकर्ता नाम और पासवर्ड भी शामिल थे, जिनका उपयोग अगर उनके खातों तक पहुँचने और प्रतिरूपण करने के लिए किया जा सकता था।

दो-तरफ़ा संदेश वार्तालापों में से कुछ में एक अद्वितीय वार्तालाप कोड होने के कारण, वार्तालापों की संपूर्ण श्रृंखला को पढ़ना संभव है। अकेले एक तालिका में लाखों संदेश थे, जिनमें से कई संदेश प्राप्तकर्ता थे जो पाठ संदेश प्राप्त करने का विकल्प चुन रहे थे।

TechCrunch ने एक्सपोज़र के बारे में TrueDialog से संपर्क किया, जिसने तुरंत डेटाबेस को ऑफ़लाइन खींच लिया। कई बार पहुंचने के बावजूद, TrueDialog के मुख्य कार्यकारी अधिकारी जॉन राइट ने उल्लंघन को स्वीकार नहीं किया और न ही टिप्पणी के लिए कई अनुरोध वापस किए। राइट ने हमारे किसी भी सवाल का जवाब नहीं दिया – जिसमें यह भी शामिल है कि क्या कंपनी ग्राहकों को सुरक्षा चूक के बारे में सूचित करेगी और यदि वह राज्य के अटॉर्नी जनरल, राज्य डेटा ब्रीच नोटिफिकेशन कानूनों के अनुसार नियामकों को सूचित करने की योजना बना रही है या नहीं।

कंपनी कई एसएमएस प्रदाताओं में से एक है जो हाल के महीनों में सिस्टम और संवेदनशील पाठ संदेश – किसी को भी उपयोग करने के लिए इंटरनेट पर छोड़ दिया है। इतना ही नहीं बल्कि यह एक और उदाहरण है कि एसएमएस पाठ संदेश सुविधाजनक क्यों हो सकते हैं लेकिन संवाद करने का सुरक्षित तरीका नहीं है – विशेष रूप से संवेदनशील डेटा के लिए, जैसे दो-कारक कोड भेजना।