TrueDialog : mise à nue de données de millions d'utilisateurs depuis les SMS ! (explicit content)

Si l'ouverture d'esprit ne fait jamais de mal au détour d'une rencontre ou d'un point de vue exposé, cela n'est pas la même chose pour les données sur Internet : des chercheurs en sécurité viennent de mettre en lumière une fuite de donnée massive depuis TrueDialog... sans chiffrement préalable ou minime.

 

TrueDialog est une solution professionnelle pour les entreprises, enseignants et permettant d'utiliser les SMS comme moyen de communication. L'entreprise œuvre essentiellement aux États-Unis et, depuis le 26 Novembre, les chercheurs sécuritaires Noam Rotem et Ran Locar ont fait une bien lugubre découverte : celle d'une base de données sans encryptage aucun (!) et contenant en libre accès les SMS de l'ensemble des usagers de ce service applicatif.

 

De plus, outre les SMS, d'autres données étaient consultables : nom, identifiant (compte), adresse mail, numéro de téléphone, date et heure des messages envoyés, actions et notifications assimilées aux SMS, détails-compte de l'utilisateur. Le billet est sérieux puisque qu'il s'agirait "de dizaines de millions" de comptes concernés aux États-Unis.

Ce type de faille aurait pu permettre des exploits permettant d'espionner et / ou de revendre certaines données à la vue des personnes usitant quotidiennement cette plate-forme. TechCrunch a investigué cette fameuse base de données rapidement fermée par TrueDialog qui n'a, toutefois, fait aucun commentaire ni aucune déclaration. L'éditeur avait été, pourtant, informé de la vulnérabilité dès le 28 Novembre dernier... A suivre !

 

Source : Blog VPNMentor - 4 Décembre 2019 - Brèche sécuritaire TrueDialog : base de données non encryptées mise à nue.