Нарушения безопасности технологических гигантов — постоянная проблема, но недавний инцидент высветил неожиданную уязвимость: обнародованные SMS-сообщения, содержащие коды двухфакторной аутентификации (2FA).

Компания YX International, отвечающая за ежедневную маршрутизацию миллионов SMS-сообщений, оставила свою внутреннюю базу данных открытой в Интернете. Это означает, что любой человек с IP-адресом базы данных мог получить доступ к конфиденциальной информации, включая одноразовые коды входа для таких крупных платформ, как Google и TikTok.

Пробел в системе был обнаружен Анурагом Сеном, исследователем безопасности. В базе данных хранились сообщения за несколько месяцев, что вызывает опасения по поводу потенциального количества пользователей, которые могут пострадать.

Хотя 2FA добавляет уровень безопасности, требуя код, отправляемый на телефон пользователя, использование только SMS-сообщений в качестве способа доставки имеет свои ограничения. SMS могут быть перехвачены, а в данном случае сами коды просто находились в незащищенной базе данных.

Компания быстро закрыла уязвимость, но остается неясным, как долго база данных была доступна и получил ли кто-то еще доступ к секретной информации.

Источник: Ferra