TrueDialog: Millionen Amerikaner von SMS- und Datenleak betroffen

TrueDialog ist in den USA einer der größten SMS-Anbieter für Massentextnachrichten, SMS-Marketing und personalisierte 2-Wege-SMS-Nachrichten. Eine kürzlich gefundene und komplett öffentlich zugängliche Datenbank, die von vpnMentor-Sicherheitsforschern entdeckt wurde, wiegt unglaubliche 604 GB. Man konnte fast eine Milliarde hochsensibler Informationen auslesen.

TrueDialog-Datenbank: Privatsphäre und Sicherheit nicht vorhanden

TrueDialog arbeitet derzeit mit über 990 Mobilfunkbetreibern zusammen und erreicht insgesamt mehr als fünf Milliarden Kunden auf der ganzen Welt. Das vpnMentor-Forschungsteam hat die Lücke in der TrueDialog-Datenbank im Rahmen eines riesigen Web-Mapping-Projekts entdeckt. Beim sogenannten Web-Mapping, scannen die Forscher das Netz unter anderem mit Hilfe von Port-Scanning nach Sicherheitslücken. Das vpnMentor-Team fand die TrueDialog-Datenbank dann vollkommen offen, ungeschützt und unverschlüsselt im Netz. Zugriff auf die Datenbank konnten sie recht einfach über einen regulären Web-Browser erlangen. TrueDialog

Abgesehen von etlichen Millionen privater Textnachrichten, entdeckten die Sicherheitsforscher von vpnMentor Millionen ungeschützter Benutzernamen und Passwörter, PII-Daten von TrueDialog-Nutzern und noch einiges mehr. Insgesamt unglaubliche 604 GB an Daten. Fast eine Milliarde hochsensible und teils sehr private Informationen konnten von den Forschern viel zu einfach ausgelesen werden.

Der eigentliche Umfang dieses Datenlecks ist riesig!

Mal ganz davon abgesehen von der Gefahr, dass böswillige Hacker, mithilfe der Datenbank Schwachstellen im TrueDialog-System finden und ausnutzen könnten, ist das Risiko für die Kunden von TrueDialog doch erheblich größer.

Die in den kürzlich geleakten SMS-Nachrichten enthaltenen vertraulichen Daten umfassen unter anderem:

  • Die vollständige Namen von Empfängern, TrueDialog-Kontoinhabern und TrueDialog-Benutzern
  • kompletter Inhalt der Nachrichten
  • E-Mail-Adressen
  • Telefonnummern von Empfängern und Benutzern
  • Daten und Zeiten, zu denen Nachrichten gesendet wurden
  • Statusanzeigen für gesendete Nachrichten, z. B. Lesebestätigungen, Antworten usw.
  • TrueDialog-Kontodetails

Der eigentliche Umfang dieses Datenlecks ist riesig. Betroffen sind immerhin sämtliche Kontoinhaber von TrueDialog und weitere mehrere zehn Millionen US-Bürger. Die Folgen dürften sowohl für TrueDialog, als auch für seine Kunden und Nutzer, unabsehbar sein.

Womit müssten von diesem Datenleck betroffene Nutzer rechnen?

PhishingDie Sicherheitsforscher von vpnMentor haben uns anhand dieses Datenlecks aufgezeigt, was ein Hacker mit dieser riesigen Datenbank so alles hätte anfangen kann:

Kontoübernahme: Die Zugangsdaten wurden nicht nur ungeschützt gelassen, sondern auch im Klartext. Dies bedeutet, dass sich jeder, der auf die Datenbank zugreift, in das Unternehmenskonto einloggen, das Kennwort ändern und unglaublich viel Schaden anrichten kann.

Unternehmensspionage: Dies ist ein weiteres Problem des unverschlüsselten Nachrichtensystems, das TrueDialog verwendet. Es wäre für einen Spion einfach, vertrauliche Nachrichten zu lesen, die von einer Konkurrenzfirma gesendet wurden. Diese Daten können Marketingkampagnen, Einführungstermine für ein neues Produkt, neue Produktdesigns oder Spezifikationen und vieles mehr umfassen.

Einkommensverlust: Dieses Datenleck enthüllte auch Aufzeichnungen zu Verkaufsabschlüssen für potenzielle Kunden von TrueDialog-Benutzern.

Identitätsdiebstahl und Betrug: Ein Betrüger könnte die in den Nachrichten enthaltenen privaten Daten sowie die darin enthaltenen vollständigen Namen, E-Mails und Telefonnummern für verschiedene betrügerische Zwecke verwenden.

Phishing und Betrug (telefonisch und online): Die Vielzahl an Kontaktdaten ist für Spammer ein großer Gewinn. Darüber hinaus können sich offen gelegte persönliche Daten als sehr wertvoll erweisen, um gezielt Phishing zu betreiben.

Erpressung: Wenn der gesamte Nachrichteninhalt im Klartext verfügbar ist, haben Betrüger genügend Munition für eine Erpressung ihres Opfers. Betrüger könnten alle persönlichen Informationen verwenden, die entweder vom Kunden oder von Schülern der Bildungsprogramme gesendet wurden, und diese zum Erpressen verwenden.

Diese Sicherheitslücke hätte man leicht vermeiden können

Es ist immer dasselbe Spiel. Wir vertrauen unsere persönlichen Daten irgendwelchen riesigen Firmen an. Diese Firmen versprechen uns natürlich, dass alle unsere Daten bei ihnen sicher aufgehoben sind. Aber leider kommt immer wieder ans Licht, dass eben diese Unternehmen es leider nicht schaffen unsere Daten dann auch wirklich ausreichend zu schützen. Dabei ist es in den meisten Fällen recht einfach:

  1. Absicherung der Server.
  2. Implementierung der richtigen Zugriffsregeln.
  3. Offene Systeme ohne Authentifizierung darf man nicht offen im Internet stehen lassen.

Es ist wirklich kein großes Hexenwerk, diese doch recht einfachen Regeln zu befolgen. Und es sind tatsächlich doch immer wieder gerade diese (dummen) Fehler, die dazu beitragen, dass alle paar Wochen erneut Millionen von Nutzerdaten illegal auftauchen. Für die von diesen riesigen Datenlecks betroffene Nutzer, ist es oft viel schwieriger sich von so einem Datenleck zu erholen, als für die betroffene Firma. Teilweise kann der Verlust wichtiger und persönlicher Daten, manche Nutzer sogar ein Leben lang verfolgen.

TrueDialog LogoSolange uns fast täglich neue und teils erschreckend große Datenlecks bekannt werden, gilt daher: „Keine Daten sind die besten Daten„. Wir müssen uns so langsam bewusst werden, wie wertvoll die Angaben über uns sind. Und natürlich sollten Firmen sich endlich auch ihrer Verantwortung uns Nutzern gegenüber bewusst werden. Man sollte unsere Daten endlich in der Form schützen, wie es stets von den IT-Konzernen versprochen wird.

Tarnkappe.info

 

Beitragsbild wir_sind_klein, thx! (Pixabay Lizenz)

 

Vielleicht gefällt dir auch