Loading...

2018-11-16

Home » » Một cơ sở dữ liệu bị rò rỉ của tin nhắn văn bản SMS tiếp xúc với reset mật khẩu và mã hai yếu tố

Một cơ sở dữ liệu bị rò rỉ của tin nhắn văn bản SMS tiếp xúc với reset mật khẩu và mã hai yếu tố

20:01:00    


Một cơ sở dữ liệu bị rò rỉ của tin nhắn văn bản SMS tiếp xúc với reset mật khẩu và mã hai yếu tố


Mỹ và Nga Cờ 8k Nghị quyết. Không có kết cấu nào không có hiệu lực.
Một mất hiệu lực bảo mật đã tiếp xúc với một cơ sở dữ liệu khổng lồ chứa hàng chục triệu tin nhắn văn bản, bao gồm các liên kết đặt lại mật khẩu, mã hai yếu tố, thông báo giao hàng và hơn thế nữa.
Máy chủ tiếp xúc thuộc về Voxox(trước đây là Telcentris ), một công ty truyền thông có trụ sở tại San Diego, Calif. Máy chủ không được bảo vệ bằng mật khẩu, cho phép bất kỳ ai biết nơi cần tìm kiếm và xem qua luồng tin nhắn văn bản gần thời gian thực.
Đối với Sébastien Kaul, một nhà nghiên cứu bảo mật tại Berlin, không mất nhiều thời gian để tìm kiếm.
Mặc dù Kaul tìm thấy máy chủ tiếp xúc trên Shodan, một công cụ tìm kiếm các thiết bị và cơ sở dữ liệu công khai có sẵn, nó cũng được gắn vào một trong các tên miền phụ của Voxox. Tồi tệ hơn, cơ sở dữ liệu - chạy trên Elasticsearch của Amazon - được cấu hình với mặt trước Kibana, làm cho dữ liệu dễ đọc, có thể duyệt và tìm kiếm tên, số ô và nội dung của tin nhắn văn bản.
Ví dụ về một tin nhắn văn bản chứa số điện thoại của người dùng và mã đặt lại tài khoản Microsoft của họ. (Ảnh: TechCrunch)
Hầu hết không nghĩ về những gì xảy ra sau hậu trường khi bạn nhận được tin nhắn văn bản từ một công ty, cho dù đó là thông báo giao hàng của Amazon hay mã hai yếu tố cho thông tin đăng nhập của bạn. Thông thường, các nhà phát triển ứng dụng - như HQ Trivia và Viber - sẽ sử dụng các công nghệ được cung cấp bởi các công ty như  Telesign và Nexmo , hoặc để xác minh số điện thoại của người dùng hoặc để gửi mã xác thực hai yếu tố. Nhưng các công ty như Voxox hoạt động như một cổng vào và chuyển đổi các mã đó thành tin nhắn văn bản, được truyền cho các mạng di động để phân phối tới điện thoại của người dùng.
Sau một cuộc điều tra của TechCrunch, Voxox đã rút cơ sở dữ liệu ngoại tuyến. Tại thời điểm đóng cửa, cơ sở dữ liệu dường như có hơn 26 triệu tin nhắn văn bản được cập nhật hàng năm. Nhưng khối lượng thông điệp tuyệt đối được xử lý thông qua nền tảng mỗi phút - như được thấy qua mặt trước trực quan của cơ sở dữ liệu - cho thấy con số này có thể cao hơn.
Mỗi bản ghi được gắn thẻ tỉ mỉ và chi tiết, bao gồm số điện thoại di động của người nhận, tin nhắn, khách hàng Voxox đã gửi tin nhắn và shortcode mà họ đã sử dụng.
Trong số những phát hiện của chúng tôi từ một đánh giá cursory của dữ liệu:
  • Chúng tôi đã tìm thấy mật khẩu được gửi bằng văn bản thuần túy tới số điện thoại Los Angeles bằng cách hẹn hò với ứng dụng Badoo;
  • Một số đối tác của Booking.com đã được gửi mã gồm hai chữ số gồm hai chữ số để đăng nhập vào mạng công ty mạng nội bộ của công ty;
  • Fidelity Investments cũng gửi mã bảo mật gồm sáu chữ số cho một mã vùng Chicago Loop;
  • Nhiều thư bao gồm mã xác minh hai yếu tố cho tài khoản Google ở ​​Châu Mỹ Latinh;
  • Một công đoàn tín dụng dựa trên Mountain View, Calif., Liên minh tín dụng công nghệ đầu tiên, cũng đã gửi mật khẩu ngân hàng tạm thời bằng văn bản thuần túy tới một số Nebraska;
  • Chúng tôi tìm thấy một văn bản thông báo giao hàng được gửi bởi Amazon với một liên kết, mở ra trang theo dõi phân phối của Amazon, bao gồm số theo dõi UPS, trên đường đến đích tại Florida;
  • Ứng dụng Messenger KakaoTalk và Viber và ứng dụng đố HQ Trivia sử dụng dịch vụ để xác minh số điện thoại của người dùng;
  • Chúng tôi cũng tìm thấy thư chứa mã đặt lại mật khẩu tài khoản của Microsoft và mã xác minh ID của Huawei;
  • Yahoo cũng đã sử dụng dịch vụ này để gửi một số khóa tài khoản bằng tin nhắn văn bản;
  • Và, một số bệnh viện nhỏ và vừa và các cơ sở y tế đã gửi nhắc nhở cho bệnh nhân về các cuộc hẹn sắp tới của họ, và trong một số trường hợp, yêu cầu thanh toán.
"Vâng, điều này là rất xấu", Dylan Katz, một nhà nghiên cứu bảo mật, người đã xem xét một số phát hiện cho biết.
Tuy nhiên, việc tiếp xúc với thông tin cá nhân và số điện thoại, khả năng truy cập vào mã hai yếu tố trong thời gian gần thực có thể khiến vô số tài khoản có nguy cơ bị xâm nhập. Trong một số trường hợp, các trang web sẽ chỉ yêu cầu số điện thoại để đặt lại tài khoản. Với quyền truy cập vào tin nhắn văn bản thông qua cơ sở dữ liệu bị lộ, việc chiếm đoạt tài khoản có thể mất vài giây.
"Mối quan tâm thực sự của tôi ở đây là khả năng điều này đã bị lạm dụng", Katz nói. "Điều này khác với hầu hết các vi phạm, do thực tế dữ liệu là tạm thời, vì vậy một khi nó ngoại tuyến thì bất kỳ dữ liệu nào bị đánh cắp cũng không hữu ích."
Kevin Hertz, người đồng sáng lập và giám đốc công nghệ của Voxox, cho biết trong một email rằng công ty đang "xem xét vấn đề và tuân theo chính sách vi phạm dữ liệu chuẩn vào lúc này" và rằng công ty đang "đánh giá tác động".
Nhiều công ty, bao gồm Facebook, Twitter và Instagram, đã triển khai xác thực hai yếu tố dựa trên ứng dụng để ngăn chặn xác minh dựa trên SMS , từ lâu đã được coi là dễ bị tấn công.