Recevez chaque jour toute l'actualité du numérique

x

Des millions de SMS en libre accès sur internet sans aucune protection

Des millions de SMS ont été retrouvés en libre accès sur internet sans mot de passe ou chiffrement. Cette base de données est gérée par la société texane TrueDialog spécialisée dans l'envoi massif de SMS pour le compte d'entreprises et d'universités. Y figurent notamment des codes d'accès à des services médicaux en ligne et des mots de passe pour accéder aux réseaux sociaux.
Twitter Facebook Linkedin Flipboard Email
×

Des millions de SMS en libre accès sur internet sans aucune protection
Des millions de SMS en libre accès sur internet sans aucune protection © Pixabay/Free-Photos

Des dizaines de millions de SMS ont été retrouvés en libre accès sur internet sans mot de passe et sans aucun chiffrement. Cette fuite a été repérée par deux chercheurs israéliens, assistés par le site web VPNMentor, le 1 décembre 2019. Depuis, l'accès a été coupé. Cette base de données est gérée par la société de communication texane TrueDialog, spécialisée dans l'envoi massif de SMS le compte d'entreprises et d'universités. Le service permet également aux destinataires de répondre à ces sollicitations et ainsi d'engager un dialogue avec la structure émettrice.

 

Ainsi, la base de données exposée possédait plus d'un milliard d'entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, des mots de passe et d'utilisation pour accéder à des réseaux sociaux. Ces informations pourraient notamment servir à des fraudeurs pour faire chanter les propriétaires. Les chercheurs ont également révélé que les caractéristiques techniques de la base de données permettaient de lire librement des chaînes entières de conversations.

 

Une base comportant des données sensibles

Au niveau international, TrueDialog compte 5 milliards d'abonnés mais il semblerait que la fuite ne concerne que les citoyens américains. Nos confrères de Techcrunch ont contacté le directeur général de la société; John Wright. Il a refusé de répondre à leurs questions. A 'heure actuelle, on ne sait pas si TrueDialog a informé ou non ses clients de cette faille ou s'il prévoyait de contacter les autorités de régulation américaines pour les informer de cette situation. En France, cette notification à la Commission nationale de l'informatique et des libertés (Cnil) est obligatoire dans les 72 heures à partir de la découverte.

 

Ce n'est pas la première fois qu'une entreprise est accusée de négligences sur la protection des données de ses clients. Le 20 novembre 2019, Gekko Group – filiale du groupe AccorHotels – a été confronté à une fuite de données personnelles (nom, prénom, adresse mail, adresse postale, données bancaires…). La Cnil a été saisie.


 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media