Header Ads Widget

Ticker

6/recent/ticker-posts

¿Qué tan mala puede ser la seguridad de los mensajes de texto? Una empresa nos acaba de mostrar.

Una gran cantidad de mensajes de texto se almacenaron en texto plano, sin ningún tipo de seguridad.


No hay nada más esencialmente móvil que los mensajes de texto, el método de comunicación más utilizado en la actualidad. Es por eso que fue muy inquietante que una casa de investigación de seguridad descubriera, y el proveedor en cuestión esencialmente confirmó, que una gran cantidad de mensajes de texto se almacenaron en texto plano, sin seguridad en absoluto. En resumen, los textos de lo que la firma de investigación de seguridad estimó que eran "cientos de millones de personas" estaban abiertos a cualquier ladrón o acosador que quisiera mirar.

La compañía involucrada, una empresa con sede en Austin llamada TrueDialog , probablemente sería desconocida para casi todos esos usuarios. TrueDialog es una empresa de marketing que ofrece productos y servicios de SMS a otras empresas, muchas empresas. Eso dificultará que los consumidores sepan siquiera si sus mensajes de texto fueron víctimas. Los usuarios de mensajes de texto pudieron responder mensajes de texto, dando la impresión de tener conversaciones bidireccionales con las empresas.

La firma de investigación de seguridad, VPNMentor, ha publicado una copia de su informe , que profundiza en detalles extensos sobre la base de datos TrueDialog que encontró.  

"La base de datos TrueDialog está alojada en Microsoft Azure y se ejecuta en Oracle Marketing Cloud en los EE. UU. La última vez que examinamos la base de datos incluía 604 GB de datos. Esto incluía casi mil millones de entradas de datos altamente sensibles", señaló el informe.

"Millones de direcciones de correo electrónico, nombres de usuario, contraseñas en texto sin cifrar y contraseñas codificadas en base64 (que son fáciles de descifrar) eran de fácil acceso dentro de la base de datos ...

"También encontramos en los registros de la base de datos de errores internos del sistema, así como muchas solicitudes y respuestas http, lo que significa que quienquiera que lo encuentre podría ver el tráfico del sitio. Esto podría [haber] expuesto vulnerabilidades por sí mismo. ...

"Las credenciales de la cuenta no solo se dejaron desprotegidas, sino también en texto sin cifrar. Esto significa que cualquiera que acceda a la base de datos podrá iniciar sesión en la cuenta de la empresa, cambiar la contraseña y causar una cantidad increíble de daño...


"Sería fácil para un espía corporativo leer mensajes confidenciales enviados por una empresa rival. Esa información podría incluir campañas de marketing, fechas de lanzamiento de un nuevo producto, nuevos diseños o especificaciones de productos y mucho más. 

"Esta filtración también expuso los registros relacionados con los clientes potenciales de ventas para los clientes potenciales de los usuarios de TrueDialog. Los usuarios están comprando clientes potenciales de terceros y si estos clientes potenciales llegaran a filtrarse, podrían perder mucho dinero".

Cuando VPNMentor se puso en contacto con TrueDialog, el proveedor nunca respondió pero, de alguna manera, la base de datos problemática se desconectó. Así que buscamos en el sitio de TrueDialog algunas ideas sobre cómo pudo haber sucedido esto. No se encontraron tales respuestas, pero había una sección interesante donde TrueDialog, con una demostración magistral de descaro, promocionaba sus poderosos mecanismos de seguridad.

Bajo un encabezado llamado "Seguridad mejorada", una página de marketing en el sitio dice: "Otro beneficio de la integración de SMS nativos es la seguridad mejorada y un mejor control sobre el acceso a los datos. Diseñado para grandes organizaciones, las funciones de mensajes de texto SMS de nivel empresarial facilitan la administración del sistema. Debido a que utilizan los mismos protocolos de seguridad que otras aplicaciones de Microsoft, se minimizan las brechas de seguridad de los datos o los problemas de contención.

"Lo más importante es que los datos nunca residen en servidores de terceros cuestionables.

"Las instalaciones de MS Dynamics en las instalaciones utilizan servidores de almacenamiento y procesamiento de datos locales, mientras que las configuraciones basadas en la nube residen en la red ultrasegura y confiable de Microsoft.

"Los administradores están tranquilos sabiendo que los datos críticos están protegidos y siempre disponibles".

¿En serio? ¿Sus clientes pueden estar tranquilos sabiendo que sus datos críticos quedan expuestos al mundo? ¿Quizás querían decir "quédate tranquilo" como eufemismo para querer suicidarse?

Aquí hay tres problemas: uno, tenemos empresas que contratan empresas para manejar algunos de sus textos, sin insistir en ver la seguridad a nivel empresarial detrás de esto. Dos, los consumidores están usando este servicio que aparentemente es de la Compañía X. Tienen cierta confianza en la Compañía X, y es por eso que están usando la opción de enviar mensajes de texto. Y, sin embargo, la Compañía X no se hace cargo. Y tres, ¿por qué Estados Unidos no tiene sanciones por un abandono tan masivo de las obligaciones de seguridad?

Algo de esto es bastante frustrante. Considere a un consumidor o estudiante que no confía en la reputación de la marca, de modo que el consumidor / estudiante pida optar por no participar. En esta situación, incluso el acto de intentar optar por no participar atrapó a más personas en esta horrible situación.

La naturaleza misma de los mensajes de texto no es especialmente segura, pero ¿es mucho pedir cifrar los datos almacenados y agregar algunas contraseñas?


Publicar un comentario

0 Comentarios