محققان به تازگی پایگاه داده محافظت نشدهای از شرکت TrueDialog را در ابر Microsoft Azure کشف کردهاند که دهها میلیون رکورد مربوط به دادههای تجاری و متنوع کاربران بر روی آن قرار دارد.
آنها همچنین توانستهاند ده میلیون پیام کوتاه (SMS) را نیز در این پایگاه داده کشف کنند. درز چنین دادههای خصوصی میتواند میلیونها نفر از مردم آمریکا را در معرض خطر سرقت یا افشای اسرار محرمانهشان قرار داده و حتی زمینه نفوذ به شرکتهای مخابراتی را هم هموار کند.
Noam Rotem و Ran Locar اعضای تیم تحقیقاتی vpnMentorکه این پایگاه داده را کشف کردهاند میگویند که این دادهها و اطلاعات، متعلق به شرکت ارتباطات مخابراتی آمریکایی TrueDialog است که خدمات ارسال گروهی SMS را برای کسب و کارهای کوچک، مؤسسههای آموزشی و دانشگاهها ارایه میدهد. این مطلب نشان میدهد که تعداد عمدهای از این پیامها محتوای تجاری داشتهاند.
علاوه بر این، به گزارش محققان، شرکت TrueDialog در «موارد بسیاری از فعالیتهای کسب و کاری خود» از پایگاههای داده ناامن استفاده میکند که این موضوع میتواند دسترسی غیرمجاز به اطلاعات میلیونها نفر و افشای مجموعهای از دادههای متنوع را فراهم کند.
به گفته محققان: «به احتمال زیاد، صدها میلیون نفر از افرادی که از این خدمات استفاده میکنند به روشهای مختلفی میتوانند در معرض انواع حملات قرار بگیرند. قرار دادن این حجم از اطلاعات و با این تنوع بالا، آن هم در یک پایگاه داده آنلاین اساساً پدیده نادری است».
با وجود این که بعضی شرکتها از مخاطرات عدم محافظت صحیح از دادههای کاربران در فضای ذخیرهسازی ابری آگاه هستند اما همچنان پایگاههای داده محافظت نشده، یکی از مشکلات دایمی این صنعت بوده و یکی از راههای رایج برای نشت اطلاعات به شمار میرود. این شکافها نه تنها مشتریان و کاربران شرکتهایی که دادههایشان درز پیدا کرده است را در معرض خطر قرار میدهد بلکه مالکان این پایگاههای داده را نیز با تهدیدهای امنیتی مواجه خواهد کرد.
محققان که در بیست و ششم ماه نوامبر، پایگاه داده TrueDialog را کشف کردهاند، دو روز بعد از آن موضوع را به اطلاع این شرکت رساندهاند. در آخرین بازرسی انجام شده بر روی این پایگاه داده که توسط Microsoft Azure و ابر بازاریابی Oracle میزبانی میشود، 604 گیگابایت داده شامل میلیاردها رکورد از «دادههای حساس» بر روی آن قرار داشته است. انواع مختلفی از دادههایی که هیچ محافظتی برای آنها در نظر گرفته نشده بود و شامل نام کامل گیرنده پیام، صاحبان حساب TrueDialog و کاربران آن، محتوای پیام، آدرسهای ایمیل، شماره تلفنهای گیرندگان و کاربران حساب، تاریخ و زمان ارسال پیامها و نشانگرهای وضعیت پیام بودند. جزییات حساب مربوط به صاحبان حساب TrueDialog هم در این پیامها وجود داشت.
میزان دادههای درز پیدا کرده، پیامدهای گستردهای برای شرکت TrueDialog، کاربران و گیرندگان آنها دارد. جزییات دادههای شخصی کاربران و گیرندگان پیامها ممکن است به بازاریابان و ارسال کنندگان هرزنامهها فروخته شده و در راستای اهدافی همچون آزار و اذیت گرفته تا جرایم سایبری مورد سوءاستفاده قرار گیرند.
بنا به گفته محققان، TrueDialog احتمالاً بالاترین خسارت را متقبل خواهد شد. این امر نه تنها بر روی اعتبار این شرکت تأثیر به شدت منفی خواهد گذاشت بلکه شرکتهای رقیب با تکیه بر این اشتباه و بزرگنمایی و همچنین ارایه چشماندازی از مدل تجاری و راهکارهای به کار گرفته شده توسط TrueDialog سعی میکنند برتری نسبی به دست آورند.
از سوی دیگر، مجرمان سایبری نیز فرصت کافی برای استفاده از آسیبپذیریهای درون سیستم TrueDialog و دسترسی به لاگهای مربوط به خطاهای داخلی سیستم را به دست خواهند آورد.
