最近、vpnMentorのチームがTrueDialogによって運営されている非保護データベースの大規模なデータ漏洩を発見しました。ウェブサイトのセキュリティ研究者は、データベースがオンラインで保護されていないため、第三者がアクセスできる状態にあったことを検出しました。データベースは11月29日にようやく保護されましたが、機密データがどれくらいの期間暴露されていたのかは不明です。
TrueDialogは、テキサス州オースティンに拠点を置くメッセージングプラットフォームです。 大企業から中小企業、さらには高等教育機関や研究所のためにSMSソリューションを提供しています。 同社はAPI中心およびクラウドベースの技術を使用しており、これにより900以上のオペレーターを経由して約50億人の加入者にテキストメッセージを送信することができます。
具体的に何が起こったのか。 暴露されたデータベースはMicrosoft Azureにホストされており、Oracle Marketing Cloud上で運営されていました。 数百万のSMSテキストとその他の個人情報が保存されており、ビジネスから顧客へ送信されたメッセージも含まれていました。 何らかの理由で、このデータベースはオンラインで保護されていない状態に放置されていました。 保存されたデータは暗号化されておらず、パスワード保護もないため、誰でもアクセスできる状態でした。同社は全世界で数十億の加入者を抱えていますが、今回のデータ漏洩は主にアメリカの顧客に影響を与え、およそ1億人が影響を受けました。
露出したデータは何か。
- TrueDialogを通じて送信されたメッセージや会話(受信者、ユーザー、およびアカウントホルダーのフルネーム、メールアドレス、アカウント詳細、メッセージ内容、受信者およびその他ユーザーの電話番号、送信日および送信メッセージのステータス)。
- TrueDialogのアカウントログインおよび詳細(住所、メール、電話番号、その他の個人情報含む)。
- データベースの内部動作を示す可能性のある技術的ログ。
TrueDialogデータベースのデータ漏洩はユーザーのプライバシーに対する重大な懸念を引き起こします。露出したデータは、第三者によって簡単にアクセスされ、そのメリットのために使用される可能性があります。