Des millions de SMS en libre accès sur internet sans aucune protection

Des millions de SMS ont été retrouvés en libre accès sur internet sans mot de passe ou chiffrement. Cette base de données est gérée par la société texane TrueDialog spécialisée dans l'envoi massif de SMS pour le compte d'entreprises et d'universités. Y figurent notamment des codes d'accès à des services médicaux en ligne et des mots de passe pour accéder aux réseaux sociaux.

Partager
Des millions de SMS en libre accès sur internet sans aucune protection

Des dizaines de millions de SMS ont été retrouvés en libre accès sur internet sans mot de passe et sans aucun chiffrement. Cette fuite a été repérée par deux chercheurs israéliens, assistés par le site web VPNMentor, le 1 décembre 2019. Depuis, l'accès a été coupé. Cette base de données est gérée par la société de communication texane TrueDialog, spécialisée dans l'envoi massif de SMS le compte d'entreprises et d'universités. Le service permet également aux destinataires de répondre à ces sollicitations et ainsi d'engager un dialogue avec la structure émettrice.

Ainsi, la base de données exposée possédait plus d'un milliard d'entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, des mots de passe et d'utilisation pour accéder à des réseaux sociaux. Ces informations pourraient notamment servir à des fraudeurs pour faire chanter les propriétaires. Les chercheurs ont également révélé que les caractéristiques techniques de la base de données permettaient de lire librement des chaînes entières de conversations.

Une base comportant des données sensibles

Au niveau international, TrueDialog compte 5 milliards d'abonnés mais il semblerait que la fuite ne concerne que les citoyens américains. Nos confrères de Techcrunch ont contacté le directeur général de la société; John Wright. Il a refusé de répondre à leurs questions. A 'heure actuelle, on ne sait pas si TrueDialog a informé ou non ses clients de cette faille ou s'il prévoyait de contacter les autorités de régulation américaines pour les informer de cette situation. En France, cette notification à la Commission nationale de l'informatique et des libertés (Cnil) est obligatoire dans les 72 heures à partir de la découverte.

Ce n'est pas la première fois qu'une entreprise est accusée de négligences sur la protection des données de ses clients. Le 20 novembre 2019, Gekko Group – filiale du groupe AccorHotels – a été confronté à une fuite de données personnelles (nom, prénom, adresse mail, adresse postale, données bancaires…). La Cnil a été saisie.


SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS