披露:
专业评论

VPnmentor包含由我们的社区审核人员撰写的评论,并根据审阅者的独立和专业审查产品/服务。

•所有权

VPnmentor由Kape Technologies PLC拥有,拥有以下产品:Cyber​​Ghost,Zenmate,私人互联网接入和Intego,可以在本网站上进行审核。

•联盟委员会

虽然VPnmentor可以在使用我们的链接进行购买时收到佣金,但这对评论内容或审查的产品/服务没有影响。我们提供直接链接,以购买作为附属计划的一部分的产品。

•评论指南

VPnmentor上发布的审查由专家撰写,根据我们的严格审查标准来检查产品。此类标准确保每次审查都基于对审核人的独立,专业和诚实的审查,并考虑了产品的技术能力和品质,以及用户的商业价值,也可能影响该产品在网站上的排名。

报告:大量数据和短信泄漏后,数百万美国人面临风险

介绍

由NOAM ROTEM和RAN LOCAR领导,vpnmentor.研究团队发现了属于美国通信公司Truitialog的违规数据库。

Truedialog为美国的公司提供短信发短信解决方案,并且有关数据库与其业务的许多方面相关联。这是一个巨大的发现,曝光了大量的私人数据,包括数百万的SMS短信。

除了私人短信之外,我们的团队发现了数百万的帐户用户名和密码,Trutialog用户及其客户的PII数据,还有更多。

通过不正确保护他们的数据库,Truedialog会损害美国数百万人的安全性和隐私。

Truedialog公司简介

Truedialog基于德克萨斯州德克萨斯州奥斯汀,已经存在超过10年。它专门为大型和小型企业创建短信解决方案。有几个不同的SMS程序,包括大规模文本消息,营销短信选项,紧急警报,教育短信解决方案等。

目前,Truedialog与超过990多个手机运营商合作,达到全球超过50亿用户。

发现和所有者反应的时间表

有时,数据违规的程度和数据的所有者是显而易见的,问题很快就解决了。但这真的是一个罕见的,通常需要几天的调查,然后我们理解股权或泄露数据时。

了解违规以及赌注的内容仔细关注和时间。我们努力发布准确且值得信赖的报告,确保读到他们的每个人都了解他们的严肃性。

一些受影响的缔约方否认了事实,无视我们的研究或扮演其影响。所以,我们需要彻底和确保我们发现的一切都是正确的,真实的。

在这种情况下,它很容易将TruedAlog识别为数据库所有者。他们的主机ID“API.TRUTUREIALOG.com”在整个中都被发现。然而,还有很明显,这是一个巨大的数据违约,损害了全国各地美国公民的隐私和安全性。

一旦在Truedialog的数据库中暴露的完整范围都很清楚,我们联系了公司。我们披露了我们的调查结果,并提供了我们在帮助他们关闭数据泄漏并确保没有人面临风险的专业知识。

数据库已经关闭,但Truedialog从未回复过我们。

  • 发现日期: 26/11/19
  • 日期供应商联系: 28/11/19
  • 行动日期: 29/11/19

数据库概述

Truedialog数据库由Microsoft Azure托管,并在美国Oracle营销云上运行。当我们上次查看数据库时,它包含604 GB的数据。这包括近10亿个高度敏感数据的条目,我们将在下面详细说明。

暴露数据示例

将此数据的大小泄漏到上下文中很难。数以千万人可能以多种方式暴露。一个数据库难以包含如此大量的信息,这也非常多样化。

数据库包含与Trueialog的商业模式的许多方面相关的条目。该公司本身并与其客户群以及这些客户的客户一起公开。

该数据库中包含的信息可以以无数方式用于信息被暴露的人。

trutialog帐户登录

在数据库中,可以轻松访问数百万封电子邮件地址,用户名,ClearText密码和Base64编码密码(易于解密)。

通过Trutialog发送的短信消息

我们能够从通过在平台上托管的Trutialog和对话发送的消息中找到数百万个条目。包括在这些SMS消息中包含的敏感数据,但不限于:

  • 收件人的全名,Truedialog帐户持有人,&Truedialog用户
  • 消息内容
  • 电子邮件地址
  • 接收者和用户的电话号码
  • 发送日期和时间消息
  • 发送消息上的状态指示符,如读取收据,回复等。
  • Truedialog帐户详细信息

公开的数据是Trueialog账户持有人,用户和数百万美国公民的混合。

帐户用户详细信息

有数以万计的条目,有关用户的详细信息,包括全名,电话号码,地址,电子邮件等。

还发现了一些更详细的用户信息。但是,由于数据库的搜索功能问题,很难估计这些条目的确切金额。

技术原木

这些日志显示了数据库结构和管理的重要细节。例如,有数以万计的条目记录了与Trueialogs营销平台链接的不同电话号码之间的通信,Eloqua由Oracle。

我们还在数据库日志中找到了内部系统错误以及许多HTTP请求和响应,这意味着发现它可以看到该网站的流量。这本身就可以暴露漏洞。

数据泄露影响

这种数据泄漏的影响可能对数百万用户具有持久的印象。可用的信息可以销售给营销人员和垃圾邮件发送者。

对于Trutialog.

对Truedialog本身来说也有重大影响,而不是包括如何对他们的声誉产生负面影响。

他们的竞争对手可以看看他们的后端,并了解公司如何从内部运行。这将使他们给他们一种复制或改进的商业模式,这些商业模式带来了带来了Trudialog成功的业务模式。而现在Truedialog在保持其客户数据库安全的情况下,它的竞争对手也可以利用品牌将接受的糟糕宣传,甚至接管客户。

此外,随着内部系统错误的日志,弊病的黑客可以在Trutialog的系统中找到漏洞并利用它们。

对于使用Truedialog的公司

帐户收购

帐户凭据不仅留下了无保护,而且在明文中也是如此。这意味着访问数据库的任何人都可以登录公司帐户,更改密码,并进行令人难以置信的损坏。

企业间谍活动

这是Truedialog使用的未加密消息系统的另一个退缩。企业间谍可以读取由竞争对手公司发送的机密信息。该数据可能包括营销活动,为新产品,新产品设计或规格提供日期,还有更多。

损失收入,包括。失去了他们购买的引领

此泄漏还有关于Trutialog用户潜在客户的销售信息的记录。用户正在购买外部各方的领导,如果这些导致泄漏,他们可能会失去大量资金。

对于公司的客户和学生

身份盗窃和欺诈

诈骗者可以使用在消息中公开的私人细节,以及用于各种欺诈行为的全名,电子邮件和电话号码。

网络钓鱼和骗局(电话和在线)

大量的联系方式本身是垃圾邮件发送者的巨大资产。此外,暴露的个人详细信息可以非常有价值,以便针对个人响应垃圾邮件和垃圾邮件网络钓鱼。

勒索

通过清除文本中暴露的所有消息内容,诈骗者将有大量的勒索弹药。诈骗者可以使用由客户或教育计划中的学生发送的任何个人信息,并使用它勒索它们。

专家的建议

如果它采取了一些基本的安全措施来保护数据库,Truedialog可能很容易避免此泄漏。这些包括但不限于:

  1. 保护您的服务器。
  2. 实施适当的访问规则。
  3. 永远不要留下一个不需要对互联网打开身份验证的系统。

任何公司都可以复制相同的步骤,无论其大小。

有关如何保护您的业务的更深入的指南,请查看我们的保护您网站的指南和黑客的在线数据库。

对于Truedialog用户

如果您是Trutialog的客户,并且关注如何违反此违约可能会影响您或者数据漏洞,或者数据漏洞,阅读我们的在线隐私的完整指南.

它向您展示了网络犯罪分子目标互联网用户的许多方式,以及您可以保持安全的步骤。

我们如何以及为什么发现违规行为

VPnmentor Research团队在Trutivialog的数据库中发现了违反Web映射项目的一部分。我们的研究人员使用端口扫描来检查特定的IP块并在系统中测试开放孔以获得缺陷。他们检查每个漏洞进行泄露。

当他们找到数据漏洞时,他们使用专家技术来验证数据库的身份。然后我们警惕公司违约。如果可能,我们还将提醒受违约影响的人。

我们的团队能够访问此数据库,因为它是完全不安全和未加密的。

该公司使用Elasticsearch数据库,这些数据库通常不是用于URL使用。但是,我们能够通过浏览器访问它并操纵URL搜索条件,以暴露数据库模式。

此Web映射项目的目的是帮助所有用户制作互联网更安全。

作为道德黑客,我们有义务在我们在线安全发现缺陷时通知一家公司。当公司数据泄露包含此类私人信息时,尤其如此。

但是,这些道德也意味着我们对公众承担责任。 Truedialog用户必须了解影响它们的数据泄露。

关于我们和之前的报告

vpnmentor..是世界上最大的VPN审查网站。我们的研究实验室是一项促进BONO服务,努力帮助在线社区在教育组织保护其用户数据时捍卫网络威胁。

在过去,我们发现了一个巨大的数据泄露揭露数百万厄瓜多尔公民的数据。我们还透露,BioStar 2违反了妥协超过100万人的生物识别数据。你也可能想读过我们的VPN泄漏报告和数据隐私统计数据报告。

关于作者

为VPnmentor写的匿名专家,但保留他们的身份秘密。

你喜欢这篇文章吗?评分!
我讨厌它! 我真的不喜欢它 这个还行吧 非常好! 爱它!
投票赞成 用户
感谢您的反馈意见
评论 注释必须是5到2500个字符。