Une base de données contenant plusieurs dizaines de millions de SMS a été trouvée en ligne. En accès libre, elle n’était protégée par aucun mot de passe ni chiffrement et contenait des informations sensibles.
La société texane TrueDialog a laissé fuiter plusieurs dizaines de millions de SMS sur la toile, indique les chercheurs de vpnMentor et le site TechCrunch. Basée à Austin (États-Unis), elle est spécialisée dans l’envoi de SMS pour les entreprises et les établissements d’enseignement supérieur, permettant à ces derniers de réaliser des envois massifs et aux destinataires d’échanger avec la structure émettrice. Cette base de données était hébergée sur Microsoft Azure de façon non sécurisée, sans mot de passe ou chiffrement.
La base de données contenait un peu plus de 600 Go de données (604 Go), dont des dizaines de millions de SMS et des données sensibles. Les chercheurs en sécurité Noam Rotem et Ran Locar, à l’origine de cette découverte, évoquent la présence de plus d’un milliard d’entrées renfermant des données sensibles sur des dizaines de millions de personnes. La société a elle-même été exposée, ainsi que sa clientèle avec de nombreux éléments sur les destinataires tels que les noms, prénoms, contenu des messages, adresses e-mail, numéro de téléphone, dates et heures d’envoi des messages, indicateurs de suivi et détails du compte TrueDialog.
De nombreuses données sensibles
En plus des SMS, des millions d’adresses e-mail, noms d’utilisateurs, mots de passe en clair ou simplement codés en Base64 (facile à déchiffrer) étaient facilement accessibles dans cette base de données. L’entreprise compte plus de 5 milliards d’abonnés, mais les premiers retours indiquent que seuls les citoyens américains sont concernés. Le site TechCrunch indique avoir examiné une partie des données et précise que la base contenait de nombreuses informations sensibles, faisant référence à des codes d’authentification à deux facteurs ou des codes permettant d’accéder à des services médicaux en ligne. On note également la présence de codes de réinitialisation de mot de passe pour des sites comme Facebook ou Google. Avec les noms d’utilisateurs et mots de passe des clients TrueDialog, des pirates auraient également pu accéder à leurs comptes et se faire passer pour eux.
Contactée, la société TrueDialog a rapidement coupé l’accès à la base de données. En revanche, elle n’a pas répondu aux sollicitations de vpnMentor ou TechCrunch. La firme texane n’est pas la première à être concernée par ce type d’affaires, confirmant au passage que la double-authentification par SMS peut être risquée.
