Souhrn:
•Bezpečnostní výzkumník nedávno odhalil, že byla veřejně odhalena velká databáze obsahující firemní dvoufázové ověřovací kódy.
•Údaje se týkají služby používané společnostmi Google, Meta a TikTok k odesílání textových zpráv obsahujících ověřovací kódy k co nejrychlejšímu ověření identity uživatele. .
•Tato dvoufaktorová autentizace představuje mnoho forem zločinu, od nabourání se do iCloudu člověka přes krádež jeho telefonního čísla až po obcházení šifrování.
Bezpečnostní výzkumník objevil nechráněnou databázi, která spravovala přístup ke službám některých z největších světových technologických společností. Databáze patří operátorovi směrování služby krátkých zpráv (SMS), který je zodpovědný za zasílání kódů dvoufaktorové autentizace (2FA) uživatelům Meta, Google a případně krypto společností.
Výzkumník Anurag Sen zjistil, že firemní databáze YX International nebyla na veřejném internetu chráněna heslem. Každý, kdo zná veřejnou adresu internetového protokolu (IP), může data zobrazit.
Uživatelé postižení porušením dvoufaktorové autentizace
YX International zasílá bezpečnostní kódy uživatelům, kteří se přihlásí na platformy Meta, Google a TikTok. Společnost zajišťuje rychlé doručování zpráv uživatelů prostřednictvím globálních mobilních sítí. Zprávy, které odesílá, obsahují bezpečnostní kódy, které tvoří součást dvoufaktorových autentizačních schémat používaných mnoha velkými společnostmi k ochraně uživatelských účtů.
Někteří poskytovatelé služeb, jako je Google, mohou ověřit pravost uživatele zasláním SMS kódu po zadání hesla. Mezi další možnosti autentizace patří generování řetězce kódů z ověřovací aplikace pro doplnění hesla.
I když je dvoufaktorová autentizace navržena tak, aby zlepšila zabezpečení, není to kouzelná kulka. V důsledku toho kryptoburza Coinbase varuje, že 2FA je minimální bezpečnostní opatření, ale není absolutně bezpečné. Hackeři mohou stále najít způsob, jak ukrást finanční prostředky z kryptopeněženek.
Coinbase uvedl:
"I když je 2FA navržena tak, aby zvyšovala bezpečnost, není spolehlivá. Hackeři, kteří získají dvoufaktorovou autentizaci, mohou stále získat neoprávněný přístup k účtům. Mezi běžné metody patří phishingové útoky, postupy obnovení účtu a malware. Hackeři Je také možné zachytit text zprávy používané v 2FA.”
Zločinci používají tyto metody k obcházení 2FA
Minulý rok se objevily zprávy o tom, jak zločinci obcházeli 2FA na zařízeních Apple. Hackeři mohou přistupovat ke cloudové platformě Apple iCloud a nahradit telefonní číslo uživatele svým vlastním. Toto schéma kompromituje prostředky uložené v aplikacích kryptopeněženky na zařízeních Apple, protože některé aplikace mohou odesílat ověřovací kódy na ohrožená telefonní čísla.
Zločinci mohou také pomocí výměny SIM karet provádět dvoufázové ověřovací kryptografické podvody. Při této metodě útoku zločinci přesvědčují mobilní operátory, jako je AT&T nebo Verizon, aby přenesli telefonní čísla od právoplatného vlastníka na jméno podvodníka. Zločinec pak potřebuje pouze jednu další informaci, aby získal přístup k aplikaci peněženky s vlastním hostitelem, která skutečně obsahuje telefonní číslo.
Ve světle nárůstu kvantové technologie Apple nedávno zlepšil zabezpečení svého hardwarového zařízení Secure Enclave zabudovaného v iPhonech. Postkvantová šifrovací schémata vytvářejí nové klíče pokaždé, když zlomyslný aktér kompromituje starý klíč.
Tato funkce může pomoci vývojářům kryptopeněženek zlepšit kryptografické zabezpečení jejich zákazníků ukládáním důležitých informací do Secure Enclave. Dosud alespoň jeden poskytovatel použil Secure Enclave k udělení přístupu ke své aplikaci peněženky.
Reportéři kontaktovali Binance a Coinbase, největší světové burzy kryptoměn, aby zjistili, zda únik dat XY International ovlivnil jejich uživatele. Žádná ze společností do doby zveřejnění nereagovala.
#安全漏洞 #2FA