Google, WhatsApp, és Facebook 2FA biztonsági kódok milliói váltak elérhetővé az interneten
Nemrégiben egy biztonsági kutató felfedezett egy több millió 2FA kódot tartalmazó adatbázist az interneten, amelyhez bárki jelszó nélkül hozzáférhetett. A biztonsági szakértők azt tanácsolják, hogy ne használjunk SMS-üzeneteket kétlépcsős hitelesítési kódokhoz, mivel azok könnyen kompromittálódhatnak, vagy illetéktelen kezekbe kerülhetnek.
Az Anurag Sen biztonsági kutató által felfedezett belső adatbázishoz jelszó nélkül hozzá lehetett férni az interneten, vagyis bárki, aki ismerte az adatbázis IP címét, egy átlagos webböngészőből megnyithatta azt.
Nem volt azonnal egyértelmű, hogy kitől származik adatbázis, de mint utóbb kiderült, a bűnös félnek az ázsiai YX International bizonyult, amely többek között SMS-üzenetek útválasztását biztosítja a legnagyobb szolgáltatók számára.
A naponta akár 5 millió SMS üzenetet feldolgozó YX International adatbázisa az érzékeny információk valóságos kincsesbányája volt, beleértve jelszó-visszaállító linkeket és 2FA kódokat olyan szolgáltatásokhoz, mint a Google, a WhatsApp, a Facebook és a TikTok.
A kutató egy rutinellenőrzés során bukkant rá az adatbázisra, aki aggodalmát fejezte ki amiatt, hogy sok cég alapszintű hitelesítés és titkosítás nélkül teszi át szervereit a felhőbe. Az adatbázis kiszivárgása kiválóan példázza, hogy a 2FA tárolására és feldolgozására használt módszerek erősen fejlesztésre szorulnak, és sokkal biztonságosabbnak kellene lenniük.
Mennyire kell aggódniuk a Google, a WhatsApp és a TikTok felhasználóinak?
2023 júliusára visszanyúló naplókról van szó. Az adatbázist védő jelszó hiánya valóban sokkoló, de ez mennyire jelent biztonsági kockázatot? A 2FA kódok szempontjából nem igazán, ugyanis az ilyen kódok nagyon gyorsan lejárnak, és a hackereknek folyamatosan figyelniük kellene az adatbázishoz hozzáadot adatokat, a célszemély tevékenységeivel együtt. Ez azonban elég valószínűtlen.
Érdemes-e SMS-t használni a 2FA biztonsági kódokhoz?
Jake Moore, az ESET globális kiberbiztonsági tanácsadója azt mondja, hogy „az egyszer használatos jelszavak SMS-en keresztül sokkal biztonságosabbak, mintha pusztán egy jelszóra támaszkodnánk, de amikor a fenyegetések már maguk is többrétegűek, a fiókoknak a legmagasabb szintű többrétegű védelemre van szükségük a biztonságuk érdekében”. A hitelesítő kulcsok, hitelesítő alkalmazások és fizikai biztonsági kulcsok az SMS-nél jóval biztonságosabb védelmet kínálnak. Tehát azoknak, akik még mindig csak jelszavakra támaszkodnak vagy SMS-es 2FA kódokat használnak, érdemes lehet újragondolniuk fiókjaik védelmét.
Bár a felhasználóknak nem kell túlságosan aggódniuk amiatt, hogy a 2FA kódokat tartalmazó, rosszul konfigurált és védetlen adatbázisban szerepeltek, ez nem jelenti azt, hogy az esetnek nincs tanulsága. Arra mindenesetre jó volt, hogy megerősítse az SMS használata ellen szóló érveket. „A szöveges üzenetek elavult technológiát használnak, ezért jó gyakorlat, ha lépést tartunk a legújabb fiókvédelmi intézkedésekkel” – zárja Moore.