Проникающая база данных текстовых сообщений SMS выдает сбрасываемые пароли и двухфакторные коды

Задержка с безопасностью выявила массивную базу данных, содержащую десятки миллионов текстовых сообщений, включая ссылки сброса пароля, двухфакторные коды, уведомления о доставке и многое другое.

Открытый сервер принадлежит Voxox(ранее Telcentris ), коммуникационной компании в Сан-Диего, штат Калифорния.

Сервер не был защищен паролем, позволяя любому, кто знал, где искать, заглядывать и отслеживать поток текстовых сообщений почти в реальном времени.

Для Себастьяна Каула, исследователя безопасности в Берлине, он не заставил себя долго ждать.

Хотя Каул нашел открытый сервер на Shodan, поисковой системе для общедоступных устройств и баз данных, он также был привязан к одному из собственных поддоменов Voxox.

Хуже того, база данных, работающая на Elasticsearch Amazon, была сконфигурирована с интерфейсом Kibana, что делает данные легко читаемыми, доступными для просмотра и поиска для имен, номеров ячеек и содержимого самих текстовых сообщений.

Пример одного текстового сообщения, содержащего телефонный номер пользователя и код перезагрузки учетной записи Microsoft.

Большинство не думает о том, что происходит за кулисами, когда вы получаете текстовое сообщение от компании, будь то уведомление об отправке Amazon или двухфакторный код для вашего входа.

Часто разработчики приложений - как HQ Пустяки и Viber - будут использовать технологии , предоставляемые фирмами , как Telesign и Nexmo , либо проверить номер телефона пользователя или отправить код двухфакторной аутентификации.

Но именно такие фирмы, как Voxox, действуют как шлюз и преобразуют эти коды в текстовые сообщения, которые передаются в сотовые сети для доставки на телефон пользователя.

После запроса TechCrunch Voxox вытащил базу данных в автономном режиме.

На момент его закрытия в базе данных появилось чуть более 26 миллионов текстовых сообщений с каждым годом.

Но объем сообщений, обрабатываемых через платформу в минуту, как видно из визуального внешнего интерфейса базы данных, предполагает, что эта цифра может быть выше.

Каждая запись была тщательно маркирована и детализирована, включая номер мобильного телефона получателя, сообщение, клиент Voxox, который отправил сообщение и используемый им короткий код.

Среди наших выводов из беглого обзора данных:

-Мы обнаружили пароль, отправленный в текстовом виде, на номер телефона в Лос-Анджелесе, отправив приложение Badoo;

-Несколько партнеров Booking.com отправили свои шестизначные двухфакторные коды для входа в корпоративную сеть экстрасети компании;

-Fidelity Investments также отправила шестизначные коды безопасности в один код округа Чикаго;

-Многие сообщения включали двухфакторные коды проверки для учетных записей Google в Латинской Америке;

-Кредитный союз в Маунтин-Вью, Калифорния, первый технический федеральный кредитный союз, также отправил временный банковский пароль в виде открытого текста на номер в Небраске;

-Мы нашли текст уведомления об отправке, отправленный Amazon со ссылкой, которая открыла страницу отслеживания доставки Amazon, включая номер отслеживания UPS, по пути к месту назначения во Флориде;

-Приложения Messenger KakaoTalk и Viber, а также приложение для викторины HQ Trivia используют эту услугу для проверки номеров телефонов пользователя;

-Мы также обнаружили сообщения, содержащие коды сброса пароля учетной записи Microsoft и коды проверки подлинности Huawei;

-Yahoo также использовал услугу для отправки некоторых ключей учетной записи посредством текстового сообщения;

-И несколько больниц малого и среднего размера и медицинские учреждения отправляли напоминания пациентам о предстоящих встречах, а в некоторых случаях и о выставлении счетов.

«Да, это очень плохо»

сказал Дилан Кац, исследователь безопасности, который рассмотрел некоторые выводы.

Несмотря на доступ к личной информации и номерам телефонов, возможность доступа к двухфакторным кодам почти в режиме реального времени может привести к бесчисленному количеству учетных записей, подверженных риску угона.

В некоторых случаях веб-сайтам потребуется только номер телефона для сброса учетной записи.

Благодаря доступу к текстовому сообщению через открытую базу данных, захват учетной записи может занять несколько секунд.

«Моя реальная проблема здесь заключается в том, что это уже злоупотребление»

сказал Кац.

«Это отличается от большинства нарушений, из-за того, что данные являются временными, поэтому, когда он отключен, любые похищенные данные не очень полезны».

Кевин Герц, соучредитель Voxox и главный технический директор, сказал по электронной почте, что компания

«изучает проблему и придерживается стандартной политики нарушения данных на данный момент» и что компания «оценивает влияние».

Многие компании, в том числе Facebook, Twitter и Instagram, развернули двухфакторную аутентификацию на основе приложений, чтобы предотвратить проверку на основе SMS , которая уже давно считается уязвимой для перехвата.

Если когда-либо был пример, это последнее воздействие будет хорошо служить.