امنیت پایین پایگاه‌های داده و لو رفتن میلیون‌ها پیام کوتاه خصوصی

محققان به تازگی پایگاه داده محافظت نشده‌ای از شرکت TrueDialog را در ابر Microsoft Azure کشف کرده‌اند که ده‌ها میلیون رکورد مربوط به داده‌های تجاری و متنوع کاربران بر روی آن قرار دارد.
آنها همچنین توانسته‌اند ده میلیون پیام کوتاه (SMS) را نیز در این پایگاه داده کشف کنند. درز چنین داده‌های خصوصی می‌تواند میلیون‌ها نفر از مردم آمریکا را در معرض خطر سرقت یا افشای اسرار محرمانه‌شان قرار داده و حتی زمینه نفوذ به شرکت‌های مخابراتی را هم هموار کند.
Noam Rotem و Ran Locar اعضای تیم تحقیقاتی vpnMentorکه این پایگاه داده را کشف کرده‌اند می‌گویند که این داده‌ها و اطلاعات، متعلق به شرکت ارتباطات مخابراتی آمریکایی TrueDialog است که خدمات ارسال گروهی SMS را برای کسب و کارهای کوچک، مؤسسه‌های آموزشی و دانشگاه‌ها ارایه می‌دهد. این مطلب نشان می‌دهد که تعداد عمده‌ای از این پیام‌ها محتوای تجاری داشته‌اند.
علاوه بر این، به گزارش محققان، شرکت TrueDialog در «موارد بسیاری از فعالیت‌های کسب و کاری خود» از پایگاه‌های داده‌ ناامن استفاده می‌کند که این موضوع می‌تواند دسترسی غیرمجاز به اطلاعات میلیون‌ها نفر و افشای مجموعه‌ای از داده‌های متنوع را فراهم کند.
به گفته محققان: «به احتمال زیاد، صدها میلیون نفر از افرادی که از این خدمات استفاده می‌کنند به روش‌های مختلفی می‌توانند در معرض انواع حملات قرار بگیرند. قرار دادن این حجم از اطلاعات و با این تنوع بالا، آن هم در یک پایگاه داده آنلاین اساساً پدیده نادری است».
با وجود این که بعضی شرکت‌ها از مخاطرات عدم محافظت صحیح از داده‌های کاربران در فضای ذخیره‌سازی ابری آگاه هستند اما همچنان پایگاه‌های داده‌ محافظت نشده، یکی از مشکلات دایمی این صنعت بوده و یکی از راه‌های رایج برای نشت اطلاعات به شمار می‌رود. این شکاف‌ها نه تنها مشتریان و کاربران شرکت‌هایی که داده‌هایشان درز پیدا کرده است را در معرض خطر قرار می‌دهد بلکه مالکان این پایگاه‌های داده‌ را نیز با تهدیدهای امنیتی مواجه خواهد کرد.
محققان که در بیست و ششم ماه نوامبر، پایگاه داده TrueDialog را کشف کرده‌اند، دو روز بعد از آن موضوع را به اطلاع این شرکت رسانده‌اند. در آخرین بازرسی انجام شده بر روی این پایگاه داده که توسط Microsoft Azure و ابر بازاریابی Oracle میزبانی می‌شود، 604 گیگابایت داده شامل میلیاردها رکورد از «داده‌های حساس» بر روی آن قرار داشته است. انواع مختلفی از داده‌هایی که هیچ محافظتی برای آنها در نظر گرفته نشده بود و شامل نام کامل گیرنده پیام، صاحبان حساب TrueDialog و کاربران آن، محتوای پیام، آدرس‌های ایمیل، شماره تلفن‌های گیرندگان و کاربران حساب، تاریخ‌ و زمان‌ ارسال پیام‌ها و نشانگرهای وضعیت پیام بودند. جزییات حساب مربوط به صاحبان حساب TrueDialog هم در این پیام‌ها وجود داشت.
میزان داده‌های درز پیدا کرده، پیامدهای گسترده‌ای برای شرکت TrueDialog، کاربران و گیرندگان آنها دارد. جزییات داده‌های شخصی کاربران و گیرندگان پیام‌ها ممکن است به بازاریابان و ارسال کنندگان هرزنامه‌ها فروخته شده و در راستای اهدافی همچون آزار و اذیت گرفته تا جرایم سایبری مورد سوءاستفاده قرار گیرند.
بنا به گفته محققان، TrueDialog احتمالاً بالاترین خسارت را متقبل خواهد شد. این امر نه تنها بر روی اعتبار این شرکت تأثیر به شدت منفی خواهد گذاشت بلکه شرکت‌های رقیب با تکیه بر این اشتباه و بزرگ‌نمایی و همچنین ارایه چشم‌اندازی از مدل تجاری و راهکارهای به کار گرفته شده توسط TrueDialog سعی می‌کنند برتری نسبی به دست آورند.
از سوی دیگر، مجرمان سایبری نیز فرصت کافی برای استفاده از آسیب‌پذیری‌های درون سیستم TrueDialog و دسترسی به لاگ‌های مربوط به خطاهای داخلی سیستم را به دست خواهند آورد.