O bază de date cu SMS-uri expune coduri pentru autentificarea în doi pași
O breșă de informații recentă a expus aproximativ 26 de milioane de mesaje text care conțineau informații private ale clienților.
O greșeală de securitate a expus o mare bază de date care conținea zeci de milioane de mesaje text, inclusiv link-uri de resetare a parolelor, coduri de autentificare în doi pași, anunțuri de livrare a produselor și multe altele, scrie techcrunch.com.
Server-ul expus aparține Voxox (care se numea înainte Telecentris), o companie de telecomunicații din San Diego, California, Statele Unite. Serverul nu era protejate de o parolă, ceea ce permitea oricui știa unde să se uite să aibă acces la mesaje aproape în timp real. Baza de date a fost descoperită de cercetătorul în securitate Sébastien Kaul, din Berlin.
Deși Kaul a descoperit serverul cu ajutorul motorului de căutare Shodan pentru dispozitive și baze de date publice, acesta era atașat și la unul dintre subdomeniile Voxox. Ceea ce este și mai grav este că baza de date – care rula pe Elasticsearch de la Amazon – era configurată în așa fel încât informațiile puteau fi citite cu ușurință, putând fi căutate nume și numere de telefon și chiar conținutul mesajelor.
După investigațiile TechCrunch, Voxox a pus offline baza de date. La data închiderii ei, aceasta avea 26 de milioane de mesaje text. Dar cantitatea de informații procesată în fiecare minut sugerează că numărul lor ar putea fi mai mare.
Autentificarea în doi pași este una dintre cele mai bune metode de protecție a conturilor împotriva hackerilor. Chiar dacă cineva are acces la numele de utilizator și la parolă, nu se va putea loga fără acest al doilea cod. O breșă ca aceasta ar permite hackerilor să vadă codul trimis pe telefon și să îl folosească pentru a se loga, scrie theverge.com.
În schimb, există și posibilitatea ca utilizatorul să folosească aplicații de autentificare precum Google Authenticator sau 1Password care sunt mult mai sigure. Aceste aplicații sunt complet independente, ceea ce înseamnă că pentru a funcționa nu trebuie să primească informații sensibile. Un alt beneficiu este că pot funcționa și dacă telefonul nu are semnal activ de la compania de telecomunicații.
În plus, cheile hardware devin și ele populare. Google a anunțat recent că a implementat chei de securitate pentru autentificarea în doi pași și că de când sunt folosite compania nu a mai înregistrat atacuri de phishing care să fi avut succes în rândul angajaților săi.
