Έκθεση κωδικών 2FA τεχνολογικών γιγάντων: Η διαρροή πληροφοριών που προκαλεί ανησυχία
Μια εταιρεία
τεχν
ολογίας
που
δρομολογεί εκατομμύρια μηνύματα κειμένου SMS σε όλο τον κόσμο έχει εξασφαλίσει μια εκτεθειμένη βάση δεδομένων που διοχέτευε εφάπαξ κωδικούς ασφαλείας που μπορεί να παρείχαν στους χρήστες πρόσβαση στους λογαριασμούς τους στο Facebook, στο Google και στο TikTok.
Η ασιατική εταιρεία τεχνολογίας και διαδικτύου YX International κατασκευάζει εξοπλισμό δικτύωσης κινητής τηλεφωνίας και παρέχει υπηρεσίες δρομολόγησης μηνυμάτων κειμένου SMS. Η δρομολόγηση SMS βοηθάει στο να μεταφέρονται χρονικά κρίσιμα μηνύματα κειμένου στον σωστό προορισμό τους σε διάφορα περιφερειακά δίκτυα κινητής τηλεφωνίας και παρόχους, όπως π.χ.
ένας χρήστης που λαμβάνει έναν κωδικό ασφαλείας SMS ή έναν σύνδεσμο για τη σύνδεση σε διαδικτυακές υπηρεσίες
.
Η YX International ισχυρίζεται ότι στέλνει
5 εκατομμύρια μηνύματα SMS καθημερινά
.
Αλλά η εταιρεία τεχνολογίας άφησε μια από τις εσωτερικές της βάσεις δεδομένων εκτεθειμένη στο διαδίκτυο χωρίς κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση στα ευαίσθητα δεδομένα χρησιμοποιώντας μόνο ένα πρόγραμμα περιήγησης ιστού, μόνο με γνώση της δημόσιας διεύθυνσης IP της βάσης δεδομένων.
Anurag Sen
,
ένας
καλόπιστος ερευνητής ασφάλειας και ειδικός στην ανα
κάλυψη
ευαίσθητων αλλά ακούσια εκτεθειμένων συνόλων δεδομένων που διαρρέουν στο Διαδίκτυο, βρήκε τη βάση δεδομένων. Ο Sen είπε ότι δεν ήταν προφανές σε ποιον ανήκει η βάση δεδομένων, ούτε σε ποιον να αναφέρει τη διαρροή, έτσι ο Sen μοιράστηκε λεπτομέρειες της εκτεθειμένης βάσης δεδομένων με το TechCrunch για να βοηθήσει στην αναγνώριση του κατόχου της και στην αναφορά του σφάλματος ασφαλείας.
Ο Sen είπε στο TechCrunch ότι η εκτεθειμένη βάση δεδομένων περιελάμβανε τα περιεχόμενα των μηνυμάτων κειμένου που αποστέλλονται στους χρήστες, συμπεριλαμβανομένων κωδικών πρόσβασης μίας χρήσης και συνδέσμων επαναφοράς κωδικού πρόσβασης για μερικές από τις μεγαλύτερες εταιρείες τεχνολογίας και στο διαδίκτυο, συμπεριλαμβανομένων των Facebook και WhatsApp, Google, TikTok και άλλων.
Η βάση δεδομένων είχε μηνιαία αρχεία καταγραφής που χρονολογούνται από τον Ιούλιο του 2023 και μεγάλωνε σε μέγεθος ανά λεπτό.
Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) προσφέρει μεγαλύτερη προστασία από διαδικτυακές παραβιάσεις λογαριασμών που βασίζονται στην κλοπή κωδικού πρόσβασης, στέλνοντας έναν πρόσθετο κωδικό σε μια αξιόπιστη συσκευή, όπως το τηλέφωνο κάποιου. Οι κωδικοί δύο παραγόντων και οι επαναφορές κωδικών πρόσβασης, όπως αυτοί που βρίσκονται στην εκτεθειμένη βάση δεδομένων, συνήθως λήγουν μετά από λίγα λεπτά ή αφού χρησιμοποιηθούν.
Ωστόσο, οι κώδικες που αποστέλλονται μέσω μηνυμάτων κειμένου SMS
δεν είναι
τόσο ασφαλείς όσο οι ισχυρότερες μορφές 2FA —μιας δημιουργίας κώδικα που βασίζεται σε εφαρμογές, για παράδειγμα— δεδομένου ότι τα μηνύματα κειμένου SMS είναι επιρρεπή σε υποκλοπή ή έκθεση, ή σε αυτήν την περίπτωση, διαρροή από μια βάση δεδομένων στο ανοιχτό ιστός.
Στην εκτεθειμένη βάση δεδομένων, το TechCrunch βρήκε σύνολα εσωτερικών διευθύνσεων email και αντίστοιχους κωδικούς πρόσβασης που σχετίζονται με το YX International και ειδοποίησε την εταιρεία για τη διαρροή βάσης δεδομένων. Η βάση δεδομένων τέθηκε εκτός σύνδεσης λίγο αργότερα. Ένας εκπρόσωπος της YX International, ο οποίος δεν έδωσε το όνομά του, απάντησε αμέσως αφού είπε ότι η εταιρεία «σφράγισε αυτήν την ευπάθεια».
Όταν ρωτήθηκε από το TechCrunch, ο εκπρόσωπος του YX International είπε ότι ο διακομιστής δεν αποθηκεύει αρχεία καταγραφής πρόσβασης, κάτι που θα καθόριζε εάν κάποιος άλλος εκτός από τον Sen ανακάλυψε την εκτεθειμένη βάση δεδομένων και τα περιεχόμενά της.
Η YX International δεν θα πει για πόσο καιρό ήταν εκτεθειμένη η βάση δεδομένων.
Όταν επικοινωνήθηκε μέσω email, ένας εκπρόσωπος της Meta δεν σχολίασε. Οι εκπρόσωποι της Google και του TikTok δεν απάντησαν σε αιτήματα για σχολιασμό.
VIA:
techcrunch.com
