Laporan: Jutaan Orang Amerika Berisiko Setelah Kebocoran Data dan SMS Besar


pengantar

Dipimpin oleh Noam Rotem dan Ran Locar, tim peneliti vpnMentor menemukan basis data yang dilanggar milik perusahaan komunikasi Amerika, TrueDialog.

TrueDialog memberikan solusi SMS ke perusahaan-perusahaan di AS dan database yang dimaksud dikaitkan dengan banyak aspek bisnis mereka. Ini adalah penemuan besar, dengan sejumlah besar data pribadi terbuka, termasuk puluhan juta pesan teks SMS. 

Selain dari pesan teks pribadi, tim kami menemukan jutaan nama pengguna dan kata sandi akun, data PII pengguna TrueDialog dan pelanggan mereka, dan banyak lagi. 

Dengan tidak mengamankan basis data mereka dengan benar, TrueDialog membahayakan keamanan dan privasi jutaan orang di seluruh AS.

Profil Perusahaan TrueDialog

TrueDialog berbasis di Austin, Texas USA, dan telah ada selama lebih dari 10 tahun. Ini mengkhususkan diri dalam menciptakan solusi SMS untuk bisnis besar dan kecil. Ada beberapa program SMS yang berbeda termasuk pesan teks massal, opsi pemasaran SMS, peringatan mendesak, solusi SMS Pendidikan, dan banyak lagi. 

Saat ini, TrueDialog bekerja dengan lebih dari 990 operator telepon seluler dan menjangkau lebih dari 5 miliar pelanggan di seluruh dunia. 

Garis Waktu Penemuan dan Reaksi Pemilik

Kadang-kadang, tingkat pelanggaran data dan pemilik data jelas, dan masalah ini cepat teratasi. Tapi ini benar-benar jarang, biasanya butuh beberapa hari penyelidikan sebelum kita memahami apa yang dipertaruhkan atau siapa yang membocorkan data.

Memahami pelanggaran dan apa yang dipertaruhkan membutuhkan perhatian dan waktu yang cermat. Kami bekerja keras untuk menerbitkan laporan yang akurat dan dapat dipercaya, memastikan semua orang yang membacanya memahami keseriusan mereka.

Beberapa pihak yang terkena dampak menyangkal fakta, mengabaikan penelitian kami atau mengecilkan dampaknya. Jadi, kita harus teliti dan pastikan semua yang kita temukan benar dan benar.

Dalam hal ini, cukup mudah untuk mengidentifikasi TrueDalog sebagai pemilik basis data. ID host mereka "api.truedialog.com" ditemukan di seluruh. Namun, juga jelas bahwa ini adalah pelanggaran data yang sangat besar, membahayakan privasi dan keamanan puluhan juta warga AS di seluruh negeri. 

Setelah sepenuhnya apa yang telah diekspos dalam database TrueDialog jelas, kami menghubungi perusahaan. Kami mengungkapkan temuan kami dan menawarkan keahlian kami dalam membantu mereka menutup kebocoran data dan memastikan tidak ada yang terpapar risiko. 

Basis data telah ditutup tetapi TrueDialog tidak pernah membalas kami. 

  • Tanggal ditemukan: 26/11/19
  • Tanggal vendor dihubungi: 28/11/19
  • Tanggal tindakan: 29/11/19

Gambaran Umum Basis Data

Basis data TrueDialog di-host oleh Microsoft Azure dan berjalan di Oracle Marketing Cloud di AS. Ketika kami terakhir melihat database itu termasuk 604 GB data. Ini termasuk hampir 1 miliar entri data yang sangat sensitif, yang akan kami uraikan di bawah ini.

Contoh Data yang Terkena

Sulit untuk menempatkan ukuran kebocoran data ini ke dalam konteks. Puluhan juta orang berpotensi terekspos dalam sejumlah cara. Jarang ada satu basis data yang berisi informasi yang sangat banyak dan sangat beragam.

Database berisi entri yang terkait dengan banyak aspek model bisnis TrueDialog. Perusahaan itu sendiri terbuka, bersama dengan basis kliennya, dan pelanggan dari klien-klien itu.   

Informasi yang terkandung dalam database ini dapat digunakan dalam berbagai cara melawan orang-orang yang informasinya terbuka.

Login Akun TrueDialog

Jutaan alamat email, nama pengguna, kata sandi cleartext, dan kata sandi yang disandikan base64 (yang mudah didekripsi) mudah diakses dalam database.

Laporan: Jutaan Orang Amerika Berisiko Setelah Kebocoran Data dan SMS Besar

Pesan SMS dikirim melalui TrueDialog

Kami dapat menemukan puluhan juta entri dari pesan yang dikirim melalui TrueDialog dan percakapan yang dihosting di platform. Data sensitif yang terkandung dalam pesan SMS ini termasuk, tetapi tidak terbatas pada:

  • Nama Lengkap penerima, pemegang akun TrueDialog, & Pengguna TrueDialog
  • Isi pesan
  • Alamat email
  • Nomor telepon penerima dan pengguna
  • Tanggal dan waktu pesan dikirim
  • Indikator status pada pesan yang dikirim, seperti Baca tanda terima, balasan, dll.
  • Detail akun TrueDialog

Data yang diungkapkan adalah campuran dari pemegang akun TrueDialog, pengguna, dan puluhan juta warga Amerika.

Laporan: Jutaan Orang Amerika Berisiko Setelah Kebocoran Data dan SMS Besar

Detail Pengguna Akun

Ada ratusan ribu entri dengan detail tentang pengguna, termasuk nama lengkap, nomor telepon, alamat, email, dan lainnya.

Ada juga beberapa informasi pengguna yang lebih rinci yang ditemukan. Namun, karena masalah dengan fungsi pencarian basis data, sulit untuk memperkirakan jumlah entri yang tepat.

Log teknis

Log ini mengungkapkan detail penting tentang bagaimana database disusun dan dikelola. Misalnya, ada ratusan ribu entri yang mendokumentasikan komunikasi antara nomor telepon berbeda yang terhubung ke platform pemasaran TrueDialogs, Eloqua oleh Oracle.

Laporan: Jutaan Orang Amerika Berisiko Setelah Kebocoran Data dan SMS Besar

Kami juga menemukan di log database kesalahan sistem internal serta banyak permintaan dan tanggapan http, yang berarti bahwa siapa pun yang menemukannya dapat melihat lalu lintas situs. Ini bisa dengan sendirinya memiliki kerentanan terbuka.

Dampak Pelanggaran Data

Dampak dari kebocoran data ini dapat memiliki kesan abadi bagi puluhan juta pengguna. Informasi yang tersedia dapat dijual kepada pemasar dan pengirim spam. 

Untuk TrueDialog

Ada juga dampak yang signifikan untuk TrueDialog sendiri, tidak termasuk bagaimana ini akan berdampak negatif terhadap reputasi mereka.

Pesaing mereka bisa melihat ke belakang dan melihat bagaimana perusahaan dijalankan dari dalam. Ini akan memberi mereka cara untuk menyalin, atau meningkatkan, model bisnis yang telah membawa kesuksesan TrueDialog. Dan sekarang TrueDialog gagal menjaga keamanan basis data pelanggannya, para pesaingnya juga dapat memanfaatkan publisitas buruk yang akan diterima merek, dan bahkan mengambil alih pelanggan mereka..

Juga, dengan log kesalahan sistem internal, peretas yang bermaksud buruk dapat menemukan kerentanan dalam sistem TrueDialog dan mengeksploitasi mereka..

Untuk Perusahaan yang Menggunakan TrueDialog

Pengambilalihan Akun

Kredensial akun tidak hanya dibiarkan tidak terlindungi tetapi juga dalam teks yang jelas. Ini berarti bahwa siapa pun yang mengakses database akan dapat masuk ke akun perusahaan, mengubah kata sandi, dan melakukan kerusakan luar biasa. 

Spionase Perusahaan

Ini adalah dampak lain dari sistem pesan tidak terenkripsi yang digunakan TrueDialog. Akan mudah bagi mata-mata perusahaan untuk membaca pesan rahasia yang dikirim oleh perusahaan saingan. Data itu dapat mencakup kampanye pemasaran, tanggal peluncuran untuk produk baru, desain atau spesifikasi produk baru dan banyak lagi. 

Kehilangan pendapatan, termasuk Kehilangan timah yang mereka beli

Kebocoran ini juga membuka catatan tentang prospek penjualan untuk pelanggan potensial pengguna TrueDialog. Pengguna membeli arahan dari pihak luar dan jika arahan ini bocor, mereka bisa kehilangan banyak uang.

Laporan: Jutaan Orang Amerika Berisiko Setelah Kebocoran Data dan SMS Besar

Untuk Pelanggan Perusahaan & Siswa

Pencurian identitas dan Penipuan

Scammer dapat menggunakan detail pribadi yang terekspos dalam pesan, serta nama lengkap, email, dan nomor telepon yang terekspos di dalamnya untuk berbagai skema penipuan. 

Phishing dan Penipuan (telepon & on line)

Banyaknya detail kontak itu sendiri merupakan aset besar bagi spammer. Selain itu, detail pribadi yang terbuka dapat terbukti sangat berharga untuk menargetkan individu untuk merespons spam dan phishing.

Pemerasan

Dengan semua konten pesan diekspos dalam cleartext, scammers akan memiliki banyak amunisi untuk memeras. Scammers dapat menggunakan informasi pribadi apa pun yang dikirim oleh pelanggan, atau siswa dalam program Pendidikan, dan menggunakannya untuk memeras mereka.   

Nasihat dari Para Ahli

TrueDialog bisa dengan mudah menghindari kebocoran ini jika telah mengambil beberapa langkah keamanan dasar untuk melindungi database. Ini termasuk, tetapi tidak terbatas pada:

  1. Amankan server Anda.
  2. Terapkan aturan akses yang tepat.
  3. Jangan pernah meninggalkan sistem yang tidak memerlukan otentikasi terbuka ke internet.

Perusahaan mana pun dapat meniru langkah yang sama, tidak peduli ukurannya.

Untuk panduan yang lebih mendalam tentang cara melindungi bisnis Anda, lihat panduan kami untuk mengamankan situs web dan basis data online Anda dari peretas.

Untuk Pengguna TrueDialog

Jika Anda adalah pelanggan TrueDialog dan khawatir tentang bagaimana pelanggaran ini secara khusus dapat berdampak pada Anda, atau kerentanan data secara umum, baca panduan lengkap kami untuk privasi online.

Ini menunjukkan kepada Anda banyak cara penjahat cyber menargetkan pengguna internet, dan langkah-langkah yang dapat Anda ambil untuk tetap aman.

Bagaimana dan Mengapa Kami Menemukan Pelanggaran

Tim peneliti vpnMentor menemukan pelanggaran dalam database TrueDialog sebagai bagian dari proyek pemetaan web yang sangat besar. Peneliti kami menggunakan pemindaian port untuk memeriksa blok IP tertentu dan menguji lubang terbuka di sistem untuk kelemahan. Mereka memeriksa setiap lubang untuk data yang bocor. 

Ketika mereka menemukan pelanggaran data, mereka menggunakan teknik ahli untuk memverifikasi identitas basis data. Kami kemudian memperingatkan perusahaan untuk melakukan pelanggaran. Jika memungkinkan, kami juga akan memberi tahu mereka yang terkena dampak pelanggaran.

Tim kami dapat mengakses database ini karena sepenuhnya tidak aman dan tidak dienkripsi. 

Perusahaan menggunakan basis data Elasticsearch, yang biasanya tidak dirancang untuk penggunaan URL. Namun, kami dapat mengaksesnya melalui browser dan memanipulasi kriteria pencarian URL untuk mengekspos skema database. 

Tujuan dari proyek pemetaan web ini adalah untuk membantu menjadikan internet lebih aman untuk semua pengguna. 

Sebagai peretas etis, kami berkewajiban untuk memberi tahu perusahaan ketika kami menemukan kekurangan dalam keamanan online mereka. Ini terutama benar ketika pelanggaran data perusahaan berisi informasi pribadi tersebut.

Namun, etika ini juga berarti kita memikul tanggung jawab kepada publik. Pengguna TrueDialog harus mengetahui adanya pelanggaran data yang juga berdampak pada mereka.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka. 

Di masa lalu, kami telah menemukan pelanggaran data besar-besaran yang mengekspos data jutaan warga Ekuador. Kami juga mengungkapkan bahwa pelanggaran di Biostar 2 membahayakan data biometrik lebih dari 1 juta orang. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me