TrueDialog läckte miljontals SMS – innehöll känsliga företagsuppgifter

hacker-attack-cracker-cyberthreat-malware
Bildkälla: Pixabay / TheDigitalArtist

Vad har hänt? Amerikanska företaget TrueDialog har lagrat tiotals miljoner SMS i en oskyddad databas som var åtkomlig via internet. Vem som helst kunde ansluta och ta del av känslig information som skickats mellan företag och deras kunder.

Vilka är TrueDialog?

TrueDialog är ett företag som erbjuder en rad olika SMS-tjänster mot företag. Bland annat massutskick med upp till 250 000 SMS per minut. TrueDialog marknadsför sin tjänst som kompetent lösning med professionella funktioner, mjukvara på enterprisenivå och låga priser. Vad de däremot inte pratar om är säkerhet eller integritet.

TrueDialog arbetar med nära tusen amerikanska mobiloperatörer och når fler än fem miljarder mottagare världen över. Priserna är från 99 USD till 2 499 USD per månad beroende på tjänstens omfattning.

Hur sparades SMS från TrueDialog på ett osäkert sätt?

Enligt uppgift till webbsajten Techcrunch fanns en helt oskyddad databas enkelt åtkomlig via internet innehållandes miljontals SMS. Innehållet var inte bara skickade SMS, utan även mottagna från kunder till företagen som nyttjar TrueDialogs tjänster. Databasen hade inget lösenord och innehållet var inte krypterat på något vis. Alla som känt till databasen och rätt parametrar kunde nå innehållet och se alla SMS i klartext.

Vem upptäckte sårbarheten kring databasen från TrueDialog?

Säkerhetsforskarna Noam Rotem och Ran Locar från vpnMentor upptäckte databasen den 26 november 2019. Två dagar senare kontaktade de två säkerhetsforskarna TrueDialog med information om säkerhetsläckan. Företaget återkopplade aldrig till Noam och Ran, men databasen var inte längre åtkomlig via internet den 29 november 2019.

Vilken information fanns tillgänglig i databasen?

vpnmentor database leak info truedialog
Bildkälla: vpnMentor

Alla användaruppgifter till databasen för TrueDialogs företagskunder fanns öppet åtkomliga.

  • E-postadresser
  • Användarnamn
  • Lösenord (både i klartext och krypterade)

Och så klart alla meddelanden som skickas till och från TrueDialogs företagskunder via SMS.

  • Fullständiga namn på mottagare, kontohållare hos TrueDialog och andra kunder
  • Innehåll i SMS-meddelanden som skickats och tagits emot
  • Telefonnummer till mottagare och användare
  • Datum och klockslag när meddelanden skickats
  • Statusindikationer på skickade meddelanden (exempelvis läsindikationer)
  • TrueDialog-kontodetaljer

Nämnvärt är att de lösenord som krypterats är skyddade med base64. Det betyder att de tämligen enkelt kan avkrypteras, vilket betyder att de i princip inte har något skydd alls.

Vad är riskerna med att databasen från TrueDialog har läckt?

Det finns enorma risker med att så här mycket data läcker ut med känslig information om både företagskunder till TrueDialog och sin tur deras kunder.
Säkerhetsforskarna Noam och Ran noterar flera stora risker som företagsspionage, inkomstförluster, identitetsstöld, nätfiskeattacker och utpressningsmejl som några av dem. 

Effekten av säkerhetsläckan kan ge ett bestående avtryck för hundratals miljoner användare. Den tillgängliga informationen kan säljas till både marknadsförare och skräppostaktörer.

vpnMentor

Omfattningen på läckan är enorm. Storleken på databasen var vid tillfället extrema 604 GB och det vore inte långsökt att förutsätta att minst en eller flera hann ladda ner hela för vidare spridning långt innan TrueDialog stängde den säkerhetsläckan.

Det betyder att all data som finns i databasen kan göra stor skada under många år framöver, oavsett om TrueDialog kontaktar sina kunder om läckan eller inte.

Hur svarar TrueDialog på uppgifter om sin säkerhetsläcka?

I skrivande stund är det oklart om TrueDialog tänker kontakta sina kunder eller gå ut med ett publikt meddelande om säkerhetsläckan. Spridningen på nyheten om att kundinformation låg öppet åtkomlig på internet är stor, och det är inte osannolikt om företaget möter kritik från kunder framöver.

När webbsajten TechCrunch kontaktade TrueDialogs verkställande direktör John Wright uteblev svaren helt. Det är tydligt att företaget inte vill prata om säkerhetsläckan – åtminstone inte i skrivande stund. Om TrueDialog inte vill svara på frågor så tyder det på en tystnadskultur som i sammanhanget är mycket oroväckande.

Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.