短信是当今最常用的通讯方式,没有什么比它更能体现移动通讯的精髓了。这就是为什么一个安全研究机构发现大量的文本信息以明文形式储存,根本没有任何安全措施,这让人非常不安。简而言之,这家安全研究公司估计,来自“数亿人”的短信对任何想要查看的小偷或跟踪者都是开放的。
这家公司名为TrueDialog,总部位于奥斯汀,几乎所有用户都不知道它的存在。TrueDialog是一家营销公司,蓝冠注册链接为其他公司提供短信产品和服务。这将使消费者很难知道他们的短信是否受到了伤害。短信用户可以回复短信,给人一种与企业进行双向对话的印象。
安全研究公司VPNMentor发布了一份报告的副本,其中深入研究了它找到的TrueDialog数据库的大量细节。
TrueDialog数据库由微软Azure托管,在美国的甲骨文营销云上运行。上一次查看数据库时,它包含604 GB的数据。其中包括近10亿项高度敏感的数据。
“数以百万计的电子邮件地址、用户名、明文密码和base64编码的密码(很容易解密)在数据库中很容易被访问。
“我们还在数据库日志中发现了内部系统错误以及许多http请求和响应,这意味着无论谁找到它都可以看到网站的流量。这本身就暴露了漏洞。
“账户凭证不仅不受保护,而且是明文的。这意味着任何访问数据库的人都可以登录公司账户,更改密码,并造成难以置信的损失。
“企业间谍很容易就能读到竞争对手发来的机密信息。这些数据可能包括营销活动、新产品推出日期、新产品设计或规格等等。
这次泄露还暴露了TrueDialog用户潜在客户的销售线索记录。用户从外部购买线索,如果这些线索泄露,他们可能会损失很多钱。”
当VPNMentor联系TrueDialog时,供应商没有回复,但是,不知怎么的,有问题的数据库被离线了。因此,我们查看了TrueDialog的网站,以了解这是如何发生的。没有找到这样的答案,但有一个有趣的部分,在那里TrueDialog -一个大无畏的展示-吹嘘其强大的安全机制。
在一个名为“增强安全性”的标题下,该网站的一个营销页面写道:“本地SMS集成的另一个好处是增强安全性和更好地控制数据访问。为大型组织构建的企业级SMS文本功能使系统管理更容易。由于它们使用与其他Microsoft应用程序相同的安全协议,因此可以最小化数据安全漏洞或包含问题。
最重要的是,数据从来不会驻留在有问题的第三方服务器上。
微软Dynamics的内部安装利用本地数据处理和存储服务器,蓝冠注册链接而基于云的安装则建立在微软受信任的超安全网络上。
“知道关键数据是受保护的并且总是可用的,管理员就放心了。”
真的吗?他们的客户知道他们的关键数据暴露在世界面前,可以放心了吗?也许他们的意思是“休息”是想要自杀的委婉说法?
这里有三个问题:第一,我们有公司雇佣公司来处理他们的一些文本,而不是坚持要看到其背后的企业级安全。第二,消费者使用的这项服务表面上是来自X公司的,他们对X公司有一定的信任,这就是他们使用短信服务的原因。但X公司并没有负责。第三,为什么美国没有对如此大规模的安全失职行为进行惩罚?
这其中有些相当令人沮丧。考虑到消费者或学生不相信品牌的声誉,因此消费者/学生要求退出。在这种情况下,即使是试图退出的行为也会让更多的人陷入这种可怕的情况。
短信的本质并不是特别安全,但加密存储的数据并添加一些密码就这么麻烦了吗?
