Une base de données renfermant des millions de SMS privés, a été exposée en ligne sans aucun chiffrement,

Pour savoir tout ce qu'il se passe sur la toile
Répondre
Avatar du membre
chtimi054
Administrateur du site
Administrateur du site
Messages : 14303
Enregistré le : ven. 26 juil. 2013 06:56

Une base de données renfermant des millions de SMS privés, a été exposée en ligne sans aucun chiffrement,

Message par chtimi054 » mar. 3 déc. 2019 07:35

Une base de données renfermant des millions de SMS privés, a été exposée en ligne sans aucun chiffrement,
Découverte faite par des chercheurs en sécurité de la société vpnMentor

Ces derniers temps, les cas d’exposition des données d’utilisateurs sont très fréquents. Le cas d’octobre dernier où les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud ont été exposées via une base de données Elasticsearch non sécurisée en est un exemple. Et le 1er décembre dernier, une équipe de chercheurs a annoncé avoir découvert une importante base de données exposée en ligne de façon non sécurisée (sans chiffrement des données) et en accès libre pour tous. Tout ceci pourrait pousser à penser que les entreprises en possession de ces données ne font pas assez d’efforts pour assurer la sécurité des informations de leurs utilisateurs.

C’est dans le cadre d’un vaste projet de cartographie web que les chercheurs en sécurité Noam Rotem et Ran Locar puisqu’il s’agit d’eux, ont fait cette découverte. Ils font partie de la société de protection de la vie privée en ligne appelée vpnMentor. Il se trouve que cette base de données est gérée par la société de communication américaine nommée TrueDialog et contenait des dizaines de millions de SMS. La société est basée est à Austin, au Texas et existe depuis plus de 10 ans. Elle est spécialisée dans la création de solutions SMS pour les grandes et les petites entreprises. À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés, mais il semble que la base de données exposée ne concerne que les citoyens américains.

Image

C’est en effectuant un balayage des ports pour examiner des blocs IP particuliers et tester les lacunes des systèmes que les chercheurs ont fait cette découverte. Ils ont ensuite utilisé des techniques expertes pour vérifier l'identité de la base de données et par la suite, ils ont alerté l’entreprise concernée. Il se trouve que les chercheurs ont pu accéder à cette base de données, car elle était complètement non sécurisée et sans aucun chiffrement. Grâce à un simple navigateur, ils ont pu manipuler les critères de recherche d'URL pour exposer les schémas de base de données en question.

Après avoir été informée de l’exposition de sa base de données, la société TrueDialog l’a immédiatement mise hors ligne, mais n’a jamais daigné répondre à vpnMentor. C’est ce qu’ont déclaré les chercheurs : « Nous avons contacté la société. Nous avons divulgué nos conclusions et offert notre expertise pour les aider à fermer la fuite de données et à assurer que personne ne soit exposé à un risque. La base de données a été fermée depuis, mais TrueDialog ne nous a jamais répondu ».

La base de données exposée contenait près d’un milliard d’entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, ainsi que des mots de passe et noms d’utilisateur pour des sites tels que Google et Facebook. Les informations personnelles contenues dans les SMS exposés pourraient constituer un atout pour les fraudeurs. Elles pourraient également servir à faire du chantage, conduire au vol d'identité et à la fraude.

merci à Developpez.com
Image

Répondre