C’est la découverte des chercheurs Noam Rotem et Ran Locar. La base de données était en accès libre sur Internet, sans mot de passe pour la protéger et bien sûr sans aucun chiffrement.

Elle appartient à la société TrueDialog, spécialisée dans les envois massifs de SMS pour les entreprises et universités ayant besoin de contacter de grands groupes de personnes. Ses services permettent également aux contactés de répondre et ainsi d’engager un dialogue avec la structure ayant émis le SMS.

La base de données contient tout ce que l’on peut attendre d’un tel stock de données (numéros de téléphones, contenus des messages et horodatage), avec en plus des informations sur les applications utilisées par les universités pour leurs finances, les messages marketing d’entreprises émettant des coupons et même des offres d’emplois.

Malheureusement pour TrueDialog, la base contenait aussi des informations beaucoup plus sensibles, comme les messages de sécurité liés au compte, tout particulièrement le code pour la double authentification. Puisque la base était ouverte aux quatre vents, toute personne l’ayant trouvée était potentiellement en mesure de s’en servir pour mener des attaques.

Nos confrères de TechCrunch se sont penchés sur la base et ont trouvé rapidement des codes de sécurité pour des services médicaux, des codes de récupération des sites ou encore des mots de passe temporaires à la suite de réinitialisations.

TechCrunch ajoute que la table place les messages dans l’ordre, permettant d’obtenir immédiatement le contexte d’une conversation. Dans une seule table, il est possible de trouver des millions de messages, mais nos confrères notent que beaucoup sont des SMS d’utilisateurs tentant de faire fonctionner l’opt-out, donc de se désinscrire du service.

TrueDialog a été contactée et a rapidement coupé l’accès. Cependant, TechCrunch n’a obtenu aucune réponse à ses questions, notamment celle de savoir si l’entreprise comptait informer les utilisateurs de la brèche.

Le cas n’est malheureusement qu’un exemple de plus dans une série de fuites de données qui ne semble devoir jamais s’arrêter. De trop nombreuses entreprises ne semblent pas considérer la sécurité des données de la clientèle comme primordiale.