Trovato online un database aperto con milioni di messaggi SMS

Il ricercatore Sébastien Kaul ha trovato attraverso Shodan un database contenente oltre 26 milioni (ma potrebbero essere molti di più) di SMS gestiti dall’azienda californiana Voxox.

Il database era aperto e, grazie al plug-in Kibana, facilmente navigabile. Al suo interno un archivio di milioni di SMS indirizzati ad altrettanti abbonati. Chi ha visto il database (ora rimosso) ha trovato:

  • password per servizi web inviate in chiaro
  • codici per l’autenticazione multi-fattore, fra cui quelli per account Google
  • notifiche di spedizione pacchi, con link per accedere al dettaglio
  • messaggi di verifica del numero telefonico per diversi servizi mobili
  • codici per il reset della password di diversi account Microsoft
  • codici di verifica ID per i servizi di Huawei
  • molti promemoria da parte di cliniche e ospedali per appuntamenti medici

Anche senza prendere in considerazione eventuali attacchi man-in-the-middle contro l’autenticazione multi-fattore (difficili da eseguire perché vi è la necessità di avere accesso al database mentre avviene l’autenticazione), il leak di informazioni personali, sanitarie, di password ecc. è imponente.

Vista l’area geografica sembra che siano stati coinvolti principalmente utenti negli USA e in qualche Paese del Sud America.

L’azienda ha dichiarato che seguirà le procedure standard che seguono un data breach e che ne sta ancora valutando l’impatto.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.