Μια παραβιασμένη βάση δεδομένων που ανακαλύφθηκε από τον ερευνητή ασφαλείας Anurag Sen έχει εγείρει ανησυχίες σχετικά με την ασφάλεια των κωδικών ασφαλείας μιας χρήσης που χρησιμοποιούνται από το Facebook, τη Google, το TikTok και άλλες μεγάλες εταιρείες τεχνολογίας.
Η YX International, μια ασιατική εταιρεία τεχνολογίας και διαδικτύου που ειδικεύεται στον εξοπλισμό κυψελοειδούς δικτύωσης και στις υπηρεσίες δρομολόγησης μηνυμάτων SMS, άφησε μία από τις εσωτερικές της βάσεις δεδομένων απροστάτευτη στο διαδίκτυο, θέτοντας ενδεχομένως σε κίνδυνο ευαίσθητα δεδομένα. Η εκτεθειμένη βάση δεδομένων, η οποία ήταν προσβάσιμη χωρίς κωδικό πρόσβασης, περιλάμβανε τα περιεχόμενα των μηνυμάτων κειμένου που αποστέλλονταν στους χρήστες, τα οποία περιείχαν κωδικούς πρόσβασης μίας χρήσης και συνδέσμους επαναφοράς κωδικού πρόσβασης. Η Sen ανακάλυψε τη βάση δεδομένων και μοιράστηκε τις λεπτομέρειες με το TechCrunch, προτρέποντας την YX International να ασφαλίσει τα εκτεθειμένα δεδομένα.
Η YX International ισχυρίζεται ότι αποστέλλει 5 εκατομμύρια γραπτά μηνύματα SMS καθημερινά, διευκολύνοντας την παράδοση χρονικά κρίσιμων μηνυμάτων, συμπεριλαμβανομένων των κωδικών ασφαλείας, σε περιφερειακά δίκτυα κινητής τηλεφωνίας. Η εκτεθειμένη βάση δεδομένων περιείχε μηνιαία αρχεία καταγραφής που χρονολογούνταν από τον Ιούλιο του 2023 και αυξανόταν συνεχώς. Αν και οι κωδικοί ελέγχου ταυτότητας δύο παραγόντων (2FA) που αποστέλλονται μέσω SMS προσφέρουν πρόσθετη ασφάλεια, είναι λιγότερο ασφαλείς από τις γεννήτριες κωδικών που βασίζονται σε εφαρμογές, καθώς τα μηνύματα SMS είναι ευάλωτα σε υποκλοπή. Η εκτεθειμένη βάση δεδομένων περιελάμβανε εσωτερικές διευθύνσεις ηλεκτρονικού ταχυδρομείου και αντίστοιχους κωδικούς πρόσβασης που σχετίζονται με την YX International.
Μετά την ειδοποίηση, η YX International ανέλαβε άμεσα δράση για την ασφάλεια της βάσης δεδομένων και ένας εκπρόσωπος της εταιρείας επιβεβαίωσε ότι η ευπάθεια είχε σφραγιστεί. Ωστόσο, η εταιρεία δεν αποκάλυψε πόσο καιρό ήταν εκτεθειμένη η βάση δεδομένων ή αν είχαν αποθηκευτεί αρχεία καταγραφής πρόσβασης. Οι Meta, Google και TikTok δεν παρείχαν σχόλια όταν επικοινώνησε το TechCrunch. Το περιστατικό αναδεικνύει τους πιθανούς κινδύνους που ενέχουν οι απροστάτευτες βάσεις δεδομένων που περιέχουν ευαίσθητες πληροφορίες χρηστών και τονίζει τη σημασία ισχυρών μέτρων κυβερνοασφάλειας για τη διασφάλιση τέτοιων δεδομένων.
0 Post a Comment:
Δημοσίευση σχολίου