W wyniku niezabezpieczonej bazy danych obsługiwanej przez firmę telekomunikacyjną Vovox mogło dojść do naruszenia ponad 26 milionów wiadomości tekstowych. Badacz cyberbezpieczeństwa Sebastien Kaul odkrył, że niezabezpieczona baza danych nie była nawet chroniona hasłem, a informacje zawarte w tych wiadomościach obejmują m.in. hasła w postaci zwykłego tekstu, kody uwierzytelniania dwuskładnikowego, kody bezpieczeństwa konta, informacje o śledzeniu przesyłek paczek, kody resetowania konta, a nawet wizyty lekarskie przypomnienia. W szczególności wiadomości te obejmują komunikację z banków, instytucji medycznych i szpitali, Yahoo, Google, Microsoft i Huawei.
Kiedy programista wysyła dwuskładnikowy kod uwierzytelniający lub gdy użytkownik prosi o link do logowania za pomocą wiadomości tekstowych, „to firmy takie jak Voxox które działają jak brama i konwertują te kody na wiadomości tekstowe, które mają być przekazywane do sieci komórkowych w celu dostarczenia do użytkownika telefon,"
TechCrunch odnotował rolę firmy Vovox w utrzymywaniu niezabezpieczonej bazy danych wiadomości SMS. SMS, czyli usługa krótkich wiadomości, to inna nazwa wiadomości tekstowych wysyłanych przez sieć operatora.Polecane filmy
Od tego czasu Vovox wycofał bazę danych i w tej chwili nie jest jasne, czy złośliwy podmiot uzyskał dostęp do jakichkolwiek informacji zawartych w bazie danych. Oprócz informacji o numerze telefonu komórkowego odbiorcy baza danych potencjalnie zapewniała każdemu hakerowi dostęp w czasie zbliżonym do rzeczywistego do łączy umożliwiających resetowanie hasła i kodów uwierzytelniania dwuskładnikowego. Naraża to wiele kont na ryzyko. Współzałożyciel i dyrektor techniczny Vovox, Kevin Hertz, powiedział TechCrunch w e-mailu, że firma bada naruszenie i „ocenia jego wpływ”.
Powiązany
- Jeśli korzystasz z systemu PayPal, Twoje dane osobowe mogły zostać naruszone
- Twoje konto Steam może być zagrożone z powodu tej nowej techniki phishingu
- Ta luka umożliwiła hakerom dostęp do każdego aspektu komputera Mac
Według Kaula baza danych zawierała zapisy ze szczegółowymi informacjami na temat wiadomości. „Każdy rekord został skrupulatnie oznaczony i szczegółowy, zawierał numer telefonu komórkowego odbiorcy, wiadomość, klienta Voxox, który wysłał wiadomość, oraz użyty przez niego krótki kod” – powiedział TechCrunch.
Chociaż w przypadku użycia z uwierzytelnienie loginu, weryfikacja SMS zapewnia lepszą ochronę niż samo użycie nazwy użytkownika i hasła, ostatnio eksperci ds. bezpieczeństwa wydali ostrzeżenia dotyczące luk w zabezpieczeniach systemów SMS. Przede wszystkim badacze ostrzegali, że wiadomości SMS mogą zostać przechwycone, a to najnowsze naruszenie jest tego najlepszym przykładem. W rezultacie eksperci twierdzą, że korzystanie z aplikacji uwierzytelniających lub sprzętowych kluczy bezpieczeństwa USB, np Klucze Titan firmy Google, są bezpieczniejszymi opcjami, jeśli chodzi o uwierzytelnianie wieloskładnikowe.
Zalecenia redaktorów
- Ten poważny błąd Apple może pozwolić hakerom ukraść Twoje zdjęcia i wyczyścić urządzenie
- Ten exploit Microsoft Teams może narazić Twoje konto na niebezpieczeństwo
- W ciągu ostatnich siedmiu lat liczba oszustw związanych z płatnościami internetowymi podwoiła się
- Hakerzy znaleźli sposób na zalogowanie się na Twoje konto e-mail Microsoft
- Naruszenie danych może kosztować miliony dolarów — a Ty możesz za to zapłacić
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
