Si les fuites de données sont de plus en plus fréquentes, l’exposition massive de SMS reste assez rare. C’est pourtant ce qu’a découvert une équipe de chercheurs du vpnMentor : TrueDialog a exposé des dizaines de millions de SMS sur le web.

TrueDialog : les données de millions de personnes exposées

Les deux chasseurs de bugs israéliens ont identifié l’entreprise TrueDialog comme étant à l’origine de cette fuite de données gigantesque. TrueDialog est une société spécialisée dans l’envoi massif de SMS pour les professionnels (entreprises et universités). Des messages ont fuité, mais pas que : on retrouve aussi dans les données accessibles des codes d’accès à des services médicaux en ligne, des adresses électroniques ou même des mots de passe pour accéder aux comptes des réseaux sociaux (notamment Facebook).

Les chercheurs estiment que des dizaines de millions de SMS ont été exposés sur le web. TrueDialog a déclaré qu’elle avait stoppé l’hémorragie dès le 29 novembre, un jour seulement après que vpnMentor ait pris contact avec les équipes de sécurité de l’entreprise. Impossible de savoir avec exactitude pendant combien de temps les données ont pu être exposées. Vraisemblablement, la fuite ne concernerait que les citoyens américains. Les chercheurs précisent que :

“Il est difficile de mettre en contexte l’ampleur de cette fuite de données. Des dizaines de millions de personnes ont été potentiellement exposées de plusieurs manières. Il est rare qu’une base de données contienne un tel volume d’informations, aussi incroyablement varié”.

Les fuites de données deviennent monnaie courante

Quels auraient pu être les risques ? Si des hackers avaient eu accès à cette base de données, ils auraient pu mettre en place de nombreuses attaques pour escroquer les victimes et les faire chanter. Les informations disponibles pouvaient notamment permettre à des fraudeurs de réclamer de l’argent aux propriétaires des données. En effet, cette fuite offrait un libre accès à des conversations entières entre particuliers.

Les fuites de données se banalisent au fil des années. En octobre, les données de plus de 7 millions d’abonnés au Creative Cloud d’Adobe avaient aussi été exposées. Le serveur Elasticsearch, utilisé par Adobe, qui regroupe de nombreuses données, n’était pas sécurisé. De ce fait, l’adresse e-mail, la date de création du compte, les services utilisés ou encore la dernière date de connexion des utilisateurs touchés par la faille étaient en libre accès et pouvaient être récupérés sans demande d’autorisation. Une autre faille de sécurité liée à Elasticsearch avait aussi été révélée au mois de mars.