Decine di milioni di messaggi di testo sono stati esposti. I messaggi, che includevano collegamenti per la reimpostazione della password, codici di autenticazione a due fattori e notifiche di spedizione, sono trapelati su un server appartenente a Voxox dopo l’incredibile violazione dei dati.
In modo allarmante, il server della società di comunicazioni di San Diego non era protetto da password. Ciò significa che chiunque sapesse dove trovarlo poteva snoopare facilmente e procedere con la violazione dei dati necessari. Sébastien Kaul, ricercatore di sicurezza con sede a Berlino, ha rilevato che il database aveva poco più di 26 milioni di messaggi quando è diventato offline su Voxox a seguito di un’inchiesta di TechCrunch. Ma il volume di messaggi elaborati attraverso la piattaforma al minuto suggerisce che questa cifra potrebbe essere più alta.
La violazione dei dati è ormai abitudine, stavolta coinvolti milioni di messaggi personali e i dati ad essi correlati
Ogni record includeva il numero di cellulare del destinatario, il messaggio, il cliente di Voxox che ha inviato il messaggio e lo shortcode che utilizzavano. Sebbene i codici stessi sarebbero stati utilizzabili solo per un breve periodo di tempo. Voxox funge da gateway per aziende come Amazon. Dunque converte codici di spedizione o codici di autenticazione a due fattori in messaggi di testo da trasmettere ai telefoni cellulari dei clienti. Tra i risultati, TechCrunch ha scoperto che diversi partner di Booking.com hanno inviato i loro codici. Sia quelli a due cifre che a sei cifre per accedere alla rete aziendale extranet dell’azienda.
Ha inoltre riscontrato che diversi ospedali e strutture sanitarie di piccole e medie dimensioni hanno inviato promemoria ai pazienti in merito alle loro imminenti nomine e, in alcuni casi, a richieste di fatturazione. Una password è stata inviata in chiaro a un numero di telefono di Los Angeles tramite l’app di Badoo. Kevin Hertz, co-fondatore e chief technology officer di Voxox, ha dichiarato a TechCrunch in una e-mail che la società stava “esaminando il problema e seguendo la politica di violazione dei dati standard al momento”.