TrueDialog: eine unglaubliche 604 GB große Datenbank mit fast 1 Milliarde hochsensibler Informationen frei zugänglich im Netz gefunden.
TrueDialog ist in den USA einer der größten SMS-Anbieter für Massentextnachrichten, SMS-Marketing und personalisierte 2-Wege-SMS-Nachrichten. Eine kürzlich gefundene und komplett öffentlich zugängliche Datenbank, die von vpnMentor-Sicherheitsforschern entdeckt wurde, wiegt unglaubliche 604 GB. Man konnte fast eine Milliarde hochsensibler Informationen auslesen.
TrueDialog-Datenbank: Privatsphäre und Sicherheit nicht vorhanden
TrueDialog arbeitet derzeit mit über 990 Mobilfunkbetreibern zusammen und erreicht insgesamt mehr als fünf Milliarden Kunden auf der ganzen Welt. Das vpnMentor-Forschungsteam hat die Lücke in der TrueDialog-Datenbank im Rahmen eines riesigen Web-Mapping-Projekts entdeckt. Beim sogenannten Web-Mapping, scannen die Forscher das Netz unter anderem mit Hilfe von Port-Scanning nach Sicherheitslücken. Das vpnMentor-Team fand die TrueDialog-Datenbank dann vollkommen offen, ungeschützt und unverschlüsselt im Netz. Zugriff auf die Datenbank konnten sie recht einfach über einen regulären Web-Browser erlangen.
Abgesehen von etlichen Millionen privater Textnachrichten, entdeckten die Sicherheitsforscher von vpnMentor Millionen ungeschützter Benutzernamen und Passwörter, PII-Daten von TrueDialog-Nutzern und noch einiges mehr. Insgesamt unglaubliche 604 GB an Daten. Fast eine Milliarde hochsensible und teils sehr private Informationen konnten von den Forschern viel zu einfach ausgelesen werden.
Der eigentliche Umfang dieses Datenlecks ist riesig!
Mal ganz davon abgesehen von der Gefahr, dass böswillige Hacker, mithilfe der Datenbank Schwachstellen im TrueDialog-System finden und ausnutzen könnten, ist das Risiko für die Kunden von TrueDialog doch erheblich größer.
Die in den kürzlich geleakten SMS-Nachrichten enthaltenen vertraulichen Daten umfassen unter anderem:
- Die vollständige Namen von Empfängern, TrueDialog-Kontoinhabern und TrueDialog-Benutzern
- kompletter Inhalt der Nachrichten
- E-Mail-Adressen
- Telefonnummern von Empfängern und Benutzern
- Daten und Zeiten, zu denen Nachrichten gesendet wurden
- Statusanzeigen für gesendete Nachrichten, z. B. Lesebestätigungen, Antworten usw.
- TrueDialog-Kontodetails
Der eigentliche Umfang dieses Datenlecks ist riesig. Betroffen sind immerhin sämtliche Kontoinhaber von TrueDialog und weitere mehrere zehn Millionen US-Bürger. Die Folgen dürften sowohl für TrueDialog, als auch für seine Kunden und Nutzer, unabsehbar sein.
[sc =name“Werbung“]
Womit müssten von diesem Datenleck betroffene Nutzer rechnen?
Die Sicherheitsforscher von vpnMentor haben uns anhand dieses Datenlecks aufgezeigt, was ein Hacker mit dieser riesigen Datenbank so alles hätte anfangen kann:
Kontoübernahme: Die Zugangsdaten wurden nicht nur ungeschützt gelassen, sondern auch im Klartext. Dies bedeutet, dass sich jeder, der auf die Datenbank zugreift, in das Unternehmenskonto einloggen, das Kennwort ändern und unglaublich viel Schaden anrichten kann.
Unternehmensspionage: Dies ist ein weiteres Problem des unverschlüsselten Nachrichtensystems, das TrueDialog verwendet. Es wäre für einen Spion einfach, vertrauliche Nachrichten zu lesen, die von eine Konkurrenzfirma gesendet hätte. Diese Daten können Marketingkampagnen, Einführungstermine für ein neues Produkt, neue Produktdesigns oder Spezifikationen und vieles mehr umfassen.
Einkommensverlust: Dieses Datenleck enthüllte auch Aufzeichnungen zu Verkaufsabschlüssen für potenzielle Kunden von TrueDialog-Benutzern.
Identitätsdiebstahl und Betrug: Ein Betrüger könnte die in den Nachrichten enthaltenen privaten Daten sowie die darin enthaltenen vollständigen Namen, E-Mails und Telefonnummern für verschiedene betrügerische Zwecke verwenden.
Phishing und Betrug (telefonisch und online): Die Vielzahl an Kontaktdaten ist für Spammer ein großer Gewinn. Darüber hinaus können sich offen gelegte persönliche Daten als sehr wertvoll erweisen, um gezielt Phishing zu betreiben.
Erpressung: Wenn der gesamte Nachrichteninhalt im Klartext verfügbar ist, haben Betrüger genügend Munition für eine Erpressung ihres Opfers. Betrüger könnten alle persönlichen Informationen verwenden, die entweder vom Kunden oder von Schülern der Bildungsprogramme gesendet wurden, und diese zum Erpressen verwenden.
Diese Sicherheitslücke hätte man leicht vermeiden können
Es ist immer dasselbe Spiel. Wir vertrauen unsere persönlichen Daten irgendwelchen riesigen Firmen an. Diese Firmen versprechen uns natürlich, dass alle unsere Daten bei ihnen sicher aufgehoben sind. Aber leider kommt immer wieder ans Licht, dass eben diese Unternehmen es leider nicht schaffen unsere Daten dann auch wirklich ausreichend zu schützen. Dabei ist es in den meisten Fällen recht einfach:
- Absicherung der Server.
- Implementierung der richtigen Zugriffsregeln.
- Offene Systeme ohne Authentifizierung darf man nicht offen im Internet stehen lassen.
Es ist wirklich kein großes Hexenwerk, diese doch recht einfachen Regeln zu befolgen. Und es sind tatsächlich doch immer wieder gerade diese (dummen) Fehler, die dazu beitragen, dass alle paar Wochen erneut Millionen von Nutzerdaten illegal auftauchen. Für die von diesen riesigen Datenlecks betroffene Nutzer, ist es oft viel schwieriger sich von so einem Datenleck zu erholen, als für die betroffene Firma. Teilweise kann der Verlust wichtiger und persönlicher Daten, manche Nutzer sogar ein Leben lang verfolgen.
Solange uns fast täglich neue und teils erschreckend große Datenlecks bekannt werden, gilt daher: „Keine Daten sind die besten Daten„. Wir müssen uns so langsam bewusst werden, wie wertvoll die Angaben über uns sind. Und natürlich sollten Firmen sich endlich auch ihrer Verantwortung uns Nutzern gegenüber bewusst werden. Man sollte unsere Daten endlich in der Form schützen, wie es stets von den IT-Konzernen versprochen wird.
Foto wir_sind_klein, thx!
Tarnkappe.info
