Des dizaines de millions de SMS automatisés, aussi bien des avis d’envoi de colis Amazon que des rappels de rendez-vous médicaux ou encore des codes d’authentification 2AF… Voici ce que l’on pouvait trouver sur le serveur laissé en accès libre par Voxox.
Voxox, anciennement Telcentris, est un fournisseur de solutions de VoIP et de routage de SMS. Ainsi, l’entreprise fournissait à d’autres sociétés des services permettant d’envoyer des SMS à leurs clients ou utilisateurs, par le biais notamment d’une API, « utilisée pour servir diverses applications d'entreprise à grande échelle, telles que les institutions financières utilisant des SMS à des fins de vérification ou les médecins envoyant des rappels aux patients ». Soit un service critique.
Mais Voxox semble avoir pris la sécurité des messages transitant par ses serveurs un peu trop à la légère. Un chercheur en sécurité allemand a découvert par le biais de Shodan qu’un serveur de l’entreprise était accessible depuis Internet, sans la moindre protection. Mieux encore, la base de données ElasticSearch était configurée avec une interface Kibana. De quoi faciliter grandement la recherche dans cette base contenant du SMS, numéro du destinataire et identité de l’expéditeur.
Données en libre service
Techcrunch, le premier à avoir rapporté cette information, a poussé l’enquête et explique avoir eu accès à la base. Celle-ci contenait 26 millions de messages, dont des avis d’expédition de colis par Amazon, des rappels de rendez-vous d’hôpitaux, des mots de passe envoyés en clair par des banques et des sites de rencontre ou encore de code d’authentification double facteur pour les services de Booking, Google ou encore Yahoo.
Voxox a depuis mis la base de données hors ligne. A Techcrunch, Kevin Hertz, cofondateur et CTO de la société, a indiqué qu’une enquête était en cours afin « d’évaluer l’impact » de cette faille de sécurité. La question est désormais de savoir si elle a été précédemment exploitée et si les données fuitées ont été utilisées dans d’autres attaques.