Een technologiebedrijf dat miljoenen sms-berichten over de hele wereld verzendt, heeft een blootgestelde database beveiligd die eenmalige beveiligingscodes verspreidde die gebruikers mogelijk toegang hebben verleend tot hun Facebook-, Google- en TikTok-accounts.
Het Aziatische technologie- en internetbedrijf YX International produceert mobiele netwerkapparatuur en levert routeringsdiensten voor sms-berichten. SMS-routering helpt om tijdkritische sms-berichten naar de juiste bestemming te krijgen via verschillende regionale mobiele netwerken en providers, zoals een gebruiker die een sms-beveiligingscode of link ontvangt om in te loggen bij onlinediensten .
YX International beweert te verzenden 5 miljoen sms-berichten per dag .
Maar het technologiebedrijf liet een van zijn interne databases zonder wachtwoord aan het internet blootstellen, waardoor iedereen toegang kreeg tot de gevoelige gegevens binnenin via alleen een webbrowser, alleen met kennis van het openbare IP-adres van de database.
Anurag Sen , een beveiligingsonderzoeker te goeder trouw en expert in het ontdekken van gevoelige maar onbedoeld blootgestelde datasets die naar het internet lekken, vond de database. Sen zei dat het niet duidelijk was van wie de database was, noch aan wie het lek moest worden gemeld, dus deelde Sen details van de blootgestelde database met Gadget Insider om de eigenaar te helpen identificeren en het beveiligingslek te melden.
Sen vertelde Gadget Insider dat de blootgestelde database de inhoud bevatte van sms-berichten die naar gebruikers waren verzonden, waaronder eenmalige toegangscodes en links voor het opnieuw instellen van wachtwoorden voor enkele van 's werelds grootste technologie- en onlinebedrijven, waaronder Facebook en WhatsApp, Google, TikTok en anderen.
De database had maandelijkse logboeken die teruggingen tot juli 2023 en werd met de minuut groter.
Tweefactorauthenticatie (2FA) biedt betere bescherming tegen online accountkapingen die afhankelijk zijn van wachtwoorddiefstal door een extra code naar een vertrouwd apparaat te sturen, zoals iemands telefoon. Tweefactorcodes en wachtwoordresets, zoals die in de blootgestelde database, verlopen doorgaans na een paar minuten of zodra ze zijn gebruikt.
Maar codes die via sms-berichten worden verzonden, zijn niet zo veilig als sterkere vormen van 2FA – bijvoorbeeld een app-gebaseerde codegenerator – omdat sms-berichten gevoelig zijn voor onderschepping of blootstelling, of in dit geval uit een database naar buiten lekken. web.
In de blootgestelde database vond Gadget Insider reeksen interne e-mailadressen en bijbehorende wachtwoorden die verband hielden met YX International, en waarschuwde het bedrijf voor de gemorste database. Korte tijd later ging de database offline. Een vertegenwoordiger van YX International, die zijn naam niet opgaf, reageerde kort nadat hij zei dat het bedrijf deze kwetsbaarheid had verzegeld.
Op vraag van Gadget Insider zei de vertegenwoordiger van YX International dat de server geen toegangslogboeken had opgeslagen, die zouden hebben bepaald of iemand anders dan Sen de blootgestelde database en de inhoud ervan had ontdekt.
YX International wil niet zeggen hoelang de database zichtbaar is geweest.
Toen een Meta-woordvoerder per e-mail werd bereikt, gaf hij geen commentaar. Woordvoerders van Google en TikTok reageerden niet op verzoeken om commentaar.
Gegevensdiefstal door 23andMe zorgt ervoor dat DNA-testbedrijven standaard 2FA inschakelen