[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Securitate IT

O bază de date cu SMS-uri expune coduri pentru autentificarea în doi pași

O breșă de informații recentă a expus aproximativ 26 de milioane de mesaje text care conțineau informații private ale clienților.

O greșeală de securitate a expus o mare bază de date care conținea zeci de milioane de mesaje text, inclusiv link-uri de resetare a parolelor, coduri de autentificare în doi pași, anunțuri de livrare a produselor și multe altele, scrie techcrunch.com.

Server-ul expus aparține Voxox (care se numea înainte Telecentris), o companie de telecomunicații din San Diego, California, Statele Unite. Serverul nu era protejate de o parolă, ceea ce permitea oricui știa unde să se uite să aibă acces la mesaje aproape în timp real. Baza de date a fost descoperită de cercetătorul în securitate Sébastien Kaul, din Berlin.

Deși Kaul a descoperit serverul cu ajutorul motorului de căutare Shodan pentru dispozitive și baze de date publice, acesta era atașat și la unul dintre subdomeniile Voxox. Ceea ce este și mai grav este că baza de date – care rula pe Elasticsearch de la Amazon – era configurată în așa fel încât informațiile puteau fi citite cu ușurință, putând fi căutate nume și numere de telefon și chiar conținutul mesajelor.

După investigațiile TechCrunch, Voxox a pus offline baza de date. La data închiderii ei, aceasta avea 26 de milioane de mesaje text. Dar cantitatea de informații procesată în fiecare minut sugerează că numărul lor ar putea fi mai mare.

Autentificarea în doi pași este una dintre cele mai bune metode de protecție a conturilor împotriva hackerilor. Chiar dacă cineva are acces la numele de utilizator și la parolă, nu se va putea loga fără acest al doilea cod. O breșă ca aceasta ar permite hackerilor să vadă codul trimis pe telefon și să îl folosească pentru a se loga, scrie theverge.com.

În schimb, există și posibilitatea ca utilizatorul să folosească aplicații de autentificare precum Google Authenticator sau 1Password care sunt mult mai sigure. Aceste aplicații sunt complet independente, ceea ce înseamnă că pentru a funcționa nu trebuie să primească informații sensibile. Un alt beneficiu este că pot funcționa și dacă telefonul nu are semnal activ de la compania de telecomunicații.

În plus, cheile hardware devin și ele populare. Google a anunțat recent că a implementat chei de securitate pentru autentificarea în doi pași și că de când sunt folosite compania nu a mai înregistrat atacuri de phishing care să fi avut succes în rândul angajaților săi.

Share
Publicat de
Cristina

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019