セキュリティ

数千万件分のショートメッセージが暗号化なしで保管されたデータベースがオンラインで見つかる

by ROBIN WORRALL

パスワードがかかっておらず誰でも閲覧できる状態の大規模データベースの中に、SMSで配信されたメッセージ数千万件が暗号化なしの状態で格納されているのが見つかりました。メッセージのほとんどは企業が潜在的な顧客に向けて送信したものでしたが、その中にはアカウントの認証情報などの機密情報も含まれていたそうです。

Report: Millions of Americans at Risk After Huge Data and SMS Leak
https://www.vpnmentor.com/blog/report-truedialog-leak/


Millions of SMS messages exposed in database security lapse | TechCrunch
https://techcrunch.com/2019/12/01/millions-sms-messages-exposed/

問題のデータベースは「TrueDialog」の所有するもの。同社は企業や高等教育機関向けに、SMSメッセージを活用したビジネスソリューションとして、大量のメッセージを送信するためのバルクSMSサービスを提供しています。TrueDialogのサービスの利点は、メッセージの受信者がそのままテキストメッセージに返信できるため、企業側と顧客側が簡単に双方向の会話を実現可能という点です。

オンライン上で発見されたTrueDialogのデータベースには、同社の顧客企業が長年にわたり顧客とやり取りしてきたSMSメッセージが保存されていたにもかかわらず、パスワードなどは一切設定されておらず、暗号化もされていませんでした。そのため、データベースの保管場所を知っている人、あるいは偶然発見した人ならば、誰でもすべてのメッセージ内容をチェック可能な状態となっていました。

by Jamie Street

データベースを発見したのはVPNサービスの評価を行うvpnMentorで働くセキュリティ研究者のNoam Rotem氏とRan Locar氏。海外テクノロジーメディアのTechCrunchが、データベース上に保存されていたSMSメッセージの一部を調査したところ、データベースには大学の財務アプリケーションに関する情報、割引コードを使用した企業からのマーケティングメッセージ、求人アラートなどに関する情報が含まれていたそうです。

また、データには2段階認証用のコードやその他のセキュリティ関連メッセージといった、機密情報を含むテキストメッセージも含まれていたため、データにアクセスできた人物ならは個人のオンラインアカウントに「容易にアクセスできた可能性がある」とTechCrunchは指摘しています。加えて、データベース内のメッセージには、オンライン医療サービスにアクセスして取得するコードや、Facebook・GoogleアカウントのパスワードリセットURLやログインコードなども含まれていたそうです。

そのほか、データベース上にはTrueDialogの顧客が利用するユーザー名・パスワードといったアカウント情報も含まれていた模様。

by freestocks.org

TechCrunchはデータベースの漏洩についてTrueDialogに連絡しており、データベースはすぐさまオフラインになったとのこと。しかし、TechCrunchがTrueDialogのジョン・ライトCEOに対して連絡を取っても、TrueDialogはデータ漏洩を一切認めておらず、質問に対する回答も得られていないそうです。

この記事のタイトルとURLをコピーする

・関連記事
12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明 - GIGAZINE

2400人以上の従業員を解雇したWeWorkのエンジニアが顧客の個人情報をGitHubで公開していたことが判明 - GIGAZINE

タックスヘイブンの銀行がハッキングされ2TBを超える機密データが流出したと報じられる - GIGAZINE

Disney+のサービス開始直後からアカウントがハッキングされ売りに出されていると判明 - GIGAZINE

「マジック:ザ・ギャザリング」でデータ流出の可能性ありでユーザーにパスワードの変更を要請 - GIGAZINE

in セキュリティ, Posted by logu_ii

You can read the machine translated English article here.