Al giorno d'oggi ormai aziende, enti pubblici ed esercizi commerciali sono comodamente raggiungibili via web, ma ancora in molti comunicano con questi soggetti o ricevono da loro comunicazioni attraverso i vecchi SMS. Purtroppo però i messaggi testuali non sono un mezzo sicuro per portare avanti dialoghi dai contenuti potenzialmente sensibili: a ricordarlo ci ha pensato in queste ore TechCrunch, che ha rivelato l'esistenza online di una banca dati da decine di milioni di messaggi SMS, leggibile da chiunque e priva di qualunque protezione crittografica.

L'archivio compromesso

L'enorme silos di dati mal protetto è di proprietà di TrueDialog, un gruppo statunitense che ha sviluppato una piattaforma utilizzata da numerose aziende per inviare messaggi SMS di marketing e in generale per tenersi in comunicazione con potenziali utenti e clienti servendosi di questo canale. Tramite l'infrastruttura messa in piedi da TrueDialog aziende, università e altri soggetti possono non solo inviare messaggi ai propri interlocutori raggiungendone centinaia per volta, ma permettere ai destinatari di rispondere. Purtroppo, hanno scoperto i ricercatori di vpnMentor, le tracce di queste comunicazioni erano conservate tutte in un unico archivio, che è risultato contenere anni di scambi tra aziende e clienti, completi di numeri di telefono e contenuti dei messaggi SMS.

Quali dati sono stati esposti

Alcune delle informazioni presenti negli scambi sono risultate essere codici sconto e informazioni promozionali che non hanno particolare rilevanza nell'ottica di una violazione della privacy; altri messaggi però contenevano informazioni finanziarie di clienti, codici per l'autenticazione a due fattori, istruzioni per il recupero di password di siti e altri dati sensibili provenienti anche da aziende come Facebook e Google, il che rende la falla potenzialmente pericolosa per numerosi utenti. Stando ai ricercatori TrueDialog lavora infatti con circa 1000 operatori telefonici e con i suoi servizi raggiunge più di 5 miliardi di persone in tutto il mondo – anche se la maggior parte delle persone colpite dalla falla appena resa nota sarebbero residenti statunitensi.

L'azienda è stata notificata del problema e in breve tempo ha rimosso il database da dove è stato trovato dai ricercatori, ma non ha ancora fatto dichiarazioni in merito alla vicenda. Senza sapere per quanto tempo la banca dati è rimasta online a disposizione di chiunque è impossibile dunque escludere che altri individui abbiano avuto il tempo di accedervi, scaricalo ed effettuarne una copia, oppure che abbiano potuto farlo in continuazione fino a quando la falla non è stata resa nota.