Повече от 26 милиона текстови съобщения може да са били пробити в резултат на незащитена база данни, управлявана от телекомуникационната компания Vovox. Изследователят по киберсигурност Себастиен Каул откри, че незащитената база данни дори не е защитена с парола и информацията, съдържаща се в тези съобщения, включва пароли в обикновен текст, двуфакторни кодове за удостоверяване, кодове за сигурност на акаунта, информация за проследяване на пакетни пратки, кодове за нулиране на акаунт и дори преглед при лекар напомняния. По-специално, тези съобщения включват съобщения от банки, медицински институции и болници, Yahoo, Google, Microsoft и Huawei.
Когато програмист изпрати код за двуфакторно удостоверяване или когато потребител поиска връзка за вход чрез текстови съобщения, „това са фирми като Voxox които действат като шлюз и преобразуват тези кодове в текстови съобщения, които да бъдат предадени на клетъчните мрежи за доставка до потребителя телефон,” TechCrunch отбелязаха ролята на Vovox в поддържането на незащитена база данни от SMS съобщения. SMS, което означава услуга за кратки съобщения, е друго име за текстови съобщения, изпратени през мрежата на оператора.
Препоръчани видеоклипове
Оттогава Vovox изтегли базата данни и към този момент не е ясно дали някаква информация, съдържаща се в базата данни, е била достъпна от злонамерен играч. В допълнение към информацията за мобилния номер на получателя, базата данни потенциално предлага на всеки хакер достъп почти в реално време до връзки за нулиране на парола и кодове за двуфакторно удостоверяване. Това поставя много акаунти в риск. Съоснователят и технически директор на Vovox Кевин Херц каза на TechCrunch в имейл, че компанията разследва пробива и че също така „оценява въздействието“.
Свързани
- Ако използвате PayPal, вашите лични данни може да са били компрометирани
- Вашият акаунт в Steam може да е в опасност поради тази нова фишинг техника
- Тази уязвимост позволи на хакерите да получат достъп до всеки аспект на вашия Mac
Според Каул базата данни е съдържала записи с подробна информация за съобщението. „Всеки запис беше щателно маркиран и подробен, включително номера на мобилния телефон на получателя, съобщението, клиента на Voxox, който е изпратил съобщението, и краткия код, който е използвал“, каза TechCrunch.
Въпреки че когато се използва с идентификационни данни за вход, проверката чрез SMS предлага повече защита от просто използване на потребителско име и парола, напоследък експерти по сигурността издадоха предупреждения за уязвимостта на SMS системите. Преди всичко изследователите предупредиха, че SMS съобщенията могат да бъдат прихванати и това последно нарушение е отличен пример за това. В резултат на това експертите казват, че използването на приложения за удостоверяване или базирани на хардуер USB ключове за сигурност, като Ключовете Titan на Google, са по-безопасни опции, когато става въпрос за многофакторно удостоверяване.
Препоръки на редакторите
- Този основен бъг на Apple може да позволи на хакерите да откраднат вашите снимки и да изтрият устройството ви
- Този експлойт на Microsoft Teams може да направи акаунта ви уязвим
- Измамите с онлайн плащания са се удвоили през последните седем години
- Хакери са намерили начин да влязат във вашия имейл акаунт в Microsoft
- Пробивът на данни може да струва милиони долари – и вие може да го плащате
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
