数据库泄漏暴露了数百万个双因素代码并重置了

作者: 计算机资讯  发布:2019-02-21

  TechCrunch报道,数以百万计的SMS短信 - 其中许多包含一次性密码,密码重置链接和明文密码 - 都暴露在可访问互联网的数据库中,任何知道在哪里看的人都可以阅读或监控这些数据。

  这一发现是在安全从业者多年的谴责之后发现的,即短信是一种非常不适合传输双因素身份验证(2FA)数据的媒介。尽管遭受了这些谴责,基于SMS的2FA仍然由美国银行,T-Mobile等移动运营商以及许多其他企业等银行提供。

  漏洞数据库属于Voxox,该服务声称每月处理数十亿个电话和短信。TechCrunch表示,总部位于柏林的研究员SbastienKaul将Shodan搜索引擎用于公开可用的设备和数据库以查找消息。数据库存储了通过网关Voxox发送的文本,这些文本提供给希望通过SMS自动发送密码重置和其他类型帐户管理数据的企业。该数据库提供了一个门户网站,显示双因素代码和近乎实时发送的重新发送链接,使访问服务器的攻击者有可能获得有助于劫持其他人帐户的数据。

  TechCrunch计算了自今年年初以来发送的超过2600万条消息,但根据发布每分钟通过平台发送的消息量,实际数量可能更高。该数据库在亚马逊的Elasticsearch上运行,并配置了Kibana前端,使电话号码,名称和其他内容易于浏览和搜索。正如TechCrunch报道:

  我们通过约会应用程序Badoo找到了一个以明文形式发送给洛杉矶电话号码的密码;

  总部位于加利福尼亚州山景城的信用合作社,即第一科技联邦信用合作社,也以明文形式向内布拉斯加州的一个临时银行密码发送;

  我们发现了亚马逊发送的带有链接的送货通知文本,该链接打开了亚马逊的送货跟踪页面,包括UPS跟踪号码,途中到达佛罗里达州的目的地;

  并且,一些中小型医院和医疗机构向患者发送关于他们即将到来的预约的提醒,并且在某些情况下,还提供账单查询。

  在TechCrunch在发布之前私下报告它之后,Voxox锁定了数据库。Voxox没有回复Ars的评论请求。

  虽然这种曝光引发了有关Voxox安全实践的严重问题,但它也反映了无数公司继续使用SMS传输2FA和帐户重置数据的情况。7号信令系统(一种电话信令语言,世界各地的电信公司用来确保其网络互操作性)的弱点已经被窃贼滥用,以窃取德国银行发送给客户的2FA代码。

  骗子还可以通过伪装成合法的所有者来接管目标的细胞数量。美国银行和T-Mobile没有对这篇文章发表评论,解释了为什么他们继续依赖SMS进行帐户验证。而且公平地说,它们并不是唯一使2FA成为提供增强的帐户安全性的媒介。

  有更安全的2FA方法,包括基于安全密钥的U2f或来自被称为FIDO联盟的行业联盟的通用认证框架标准。诸如Duo Security或Google Authenticator等手机应用程序并不完美,但它们仍然提供比2fa更安全的方式。

本文由金沙登录平台于2019-02-21日发布