Mililoni di SMS di utenti ignari sono stati pubblicati online
Al giorno d'oggi ormai aziende, enti pubblici ed esercizi commerciali sono comodamente raggiungibili via web, ma ancora in molti comunicano con questi soggetti o ricevono da loro comunicazioni attraverso i vecchi SMS. Purtroppo però i messaggi testuali non sono un mezzo sicuro per portare avanti dialoghi dai contenuti potenzialmente sensibili: a ricordarlo ci ha pensato in queste ore TechCrunch, che ha rivelato l'esistenza online di una banca dati da decine di milioni di messaggi SMS, leggibile da chiunque e priva di qualunque protezione crittografica.
L'archivio compromesso
L'enorme silos di dati mal protetto è di proprietà di TrueDialog, un gruppo statunitense che ha sviluppato una piattaforma utilizzata da numerose aziende per inviare messaggi SMS di marketing e in generale per tenersi in comunicazione con potenziali utenti e clienti servendosi di questo canale. Tramite l'infrastruttura messa in piedi da TrueDialog aziende, università e altri soggetti possono non solo inviare messaggi ai propri interlocutori raggiungendone centinaia per volta, ma permettere ai destinatari di rispondere. Purtroppo, hanno scoperto i ricercatori di vpnMentor, le tracce di queste comunicazioni erano conservate tutte in un unico archivio, che è risultato contenere anni di scambi tra aziende e clienti, completi di numeri di telefono e contenuti dei messaggi SMS.
Quali dati sono stati esposti
Alcune delle informazioni presenti negli scambi sono risultate essere codici sconto e informazioni promozionali che non hanno particolare rilevanza nell'ottica di una violazione della privacy; altri messaggi però contenevano informazioni finanziarie di clienti, codici per l'autenticazione a due fattori, istruzioni per il recupero di password di siti e altri dati sensibili provenienti anche da aziende come Facebook e Google, il che rende la falla potenzialmente pericolosa per numerosi utenti. Stando ai ricercatori TrueDialog lavora infatti con circa 1000 operatori telefonici e con i suoi servizi raggiunge più di 5 miliardi di persone in tutto il mondo – anche se la maggior parte delle persone colpite dalla falla appena resa nota sarebbero residenti statunitensi.
L'azienda è stata notificata del problema e in breve tempo ha rimosso il database da dove è stato trovato dai ricercatori, ma non ha ancora fatto dichiarazioni in merito alla vicenda. Senza sapere per quanto tempo la banca dati è rimasta online a disposizione di chiunque è impossibile dunque escludere che altri individui abbiano avuto il tempo di accedervi, scaricalo ed effettuarne una copia, oppure che abbiano potuto farlo in continuazione fino a quando la falla non è stata resa nota.