Cyberthreat.id – Basis data (database) besar yang menyimpan puluhan juta pesan teks dalam bentuk SMS, sebagian besar dikirim oleh perusahaan ke pelanggan potensial, ditemukan terbuka secara online.

Basis data tersebut dijalankan oleh TrueDialog, penyedia SMS bisnis untuk perusahaan dan lembaga pendidikan tinggi. Perusahaan menyediakan jasa mengirimkan pesan teks massal kepada pelanggan dan siswa mereka.

Perusahaan yang berbasis di Austin, Texas itu mengatakan salah satu keuntungan dari layanannya adalah penerima dapat mengirim SMS kembali—memungkinkan percakapan dua arah dengan perusahaan atau lembaga terkait.

Sayangnya, basis data yang telah berjalan bertahun-tahun itu tidak diisimpan dan dikunci dengan baik oleh TrueDialog. Data itu benar-benar telanjang tanpa enkripsi dan dan siapa pun bisa melihatnya.

Peneliti keamanan Noam Rotem dan Ran Locar menemukan basis data yang terbuka awal November 2019.

Untuk mengecek keaslian data itu,TechCrunch memeriksa sebagian dari data, yang berisi log rincian dari pesan yang dikirim oleh pelanggan yang menggunakan sistem TrueDialog, termasuk nomor telepon dan isi pesan SMS.

Basis data di antaranya berisi informasi tentang aplikasi keuangan universitas, pesan pemasaran dari bisnis dengan kode diskon, dan pemberitahuan pekerjaan.

Namun, data juga mengandung pesan teks sensitif, seperti kode otentikasi dua faktor (2FA) dan pesan keamanan lainnya, yang mungkin memungkinkan siapa saja yang melihat data untuk mendapatkan akses ke akun online seseorang.

“Banyak pesan yang kami ulas berisi kode untuk mengakses layanan medis online dan pengaturan ulang kata sandi serta kode masuk ke Facebook dan akun Google,” tulis TechCrunch.

Data juga berisi nama pengguna dan kata sandi pelanggan TrueDialog, bahkan bisa dipakai untuk mengakses dan menyamar sebagai akun mereka.

Ketika dikontak soal kebocoran data itu, TrueDialog langsung menutup data tersebut. Namun, CEO TrueDialog John Wright enggan memberikan komentar tentang hal itu.

Ia juga tidak menjawab pertanyaan: apakah perusahaan akan memberitahu pelanggan tentang kesalahan keamanan, termasuk kepada pemerintah sesuatu peraturan perundang-undangan.

Perusahaan ini hanyalah satu dari sekian banyak penyedia SMS yang pernah meninggalkan sistem secara terbuka di internet. Pada tahun lalu, kebocoran data jutaan teks SMS yang berisi kode 2FA, pemberitahuan pengiriman, dan lain-lain juga dialami oleh Voxox.