Zusammenfassung:
•Ein Sicherheitsforscher hat kürzlich aufgedeckt, dass eine große Datenbank mit zweistufigen Verifizierungscodes des Unternehmens öffentlich zugänglich gemacht wurde.
•Die Daten beziehen sich auf einen Dienst, den Google, Meta und TikTok nutzen, um Textnachrichten mit Verifizierungscodes zu versenden, um die Identität eines Nutzers schnellstmöglich zu überprüfen. .
•Diese Zwei-Faktor-Authentifizierungen stellen viele Formen der Kriminalität dar, vom Hacken in die iCloud einer Person über den Diebstahl ihrer Telefonnummer bis hin zur Umgehung der Verschlüsselung.
Ein Sicherheitsforscher hat eine ungeschützte Datenbank entdeckt, die den Zugriff auf die Dienste einiger der weltweit größten Technologieunternehmen verwaltet. Die Datenbank gehört einem Routing-Betreiber für Kurznachrichtendienste (SMS), der für den Versand von Zwei-Faktor-Authentifizierungscodes (2FA) an Benutzer von Meta, Google und möglicherweise Kryptounternehmen verantwortlich ist.
Der Forscher Anurag Sen entdeckte, dass die YX International-Datenbank des Unternehmens im öffentlichen Internet nicht passwortgeschützt war. Jeder, der die öffentliche Internet Protocol (IP)-Adresse kennt, kann die Daten einsehen.
Benutzer, die von einem Verstoß gegen die Zwei-Faktor-Authentifizierung betroffen sind
YX International sendet Sicherheitscodes an Benutzer, die sich bei den Plattformen Meta, Google und TikTok anmelden. Das Unternehmen stellt sicher, dass die Nachrichten der Benutzer schnell über globale Mobilfunknetze zugestellt werden. Die gesendeten Nachrichten enthalten Sicherheitscodes, die Teil der Zwei-Faktor-Authentifizierungssysteme sind, die von vielen großen Unternehmen zum Schutz von Benutzerkonten verwendet werden.
Einige Dienstanbieter wie Google können die Authentizität des Benutzers überprüfen, indem sie nach Eingabe eines Passworts einen SMS-Code senden. Zu den weiteren Authentifizierungsoptionen gehört die Generierung einer Codefolge aus der Authentifizierungsanwendung zur Ergänzung des Passworts.
Die Zwei-Faktor-Authentifizierung soll zwar die Sicherheit verbessern, ist aber kein Allheilmittel. Daher warnt die Kryptobörse Coinbase, dass 2FA eine Mindestsicherheitsmaßnahme sei, aber nicht absolut sicher. Hacker finden möglicherweise immer noch einen Weg, Gelder aus Krypto-Wallets zu stehlen.
Coinbase erklärte:
„Obwohl 2FA darauf ausgelegt ist, die Sicherheit zu erhöhen, ist es nicht narrensicher. Hacker, die eine Zwei-Faktor-Authentifizierung erhalten, können sich dennoch unbefugten Zugriff auf Konten verschaffen. Zu den gängigen Methoden gehören Phishing-Angriffe, Kontowiederherstellungsverfahren und Malware. Hackern ist es auch möglich, Text abzufangen.“ Nachrichten, die in 2FA verwendet werden.“
Kriminelle nutzen diese Methoden, um 2FA zu umgehen
Letztes Jahr tauchten Berichte darüber auf, wie Kriminelle 2FA auf Apple-Geräten umgehen. Hacker können auf Apples Cloud-Plattform iCloud zugreifen und die Telefonnummer eines Benutzers durch ihre eigene ersetzen. Dieses Schema gefährdet Gelder, die in Krypto-Wallet-Apps auf Apple-Geräten gespeichert sind, da einige Apps möglicherweise Bestätigungscodes an kompromittierte Telefonnummern senden.
Kriminelle können den SIM-Austausch auch nutzen, um Krypto-Betrug mit zweistufiger Verifizierung durchzuführen. Bei dieser Angriffsmethode überzeugen Kriminelle Mobilfunkanbieter wie AT&T oder Verizon, Telefonnummern vom rechtmäßigen Eigentümer auf den Namen des Betrügers zu übertragen. Der Kriminelle benötigt dann nur noch eine weitere Information, um Zugriff auf die selbst gehostete Wallet-App zu erhalten, in der sich tatsächlich die Telefonnummer befindet.
Angesichts des Aufschwungs der Quantentechnologie hat Apple kürzlich die Sicherheit seines in iPhones integrierten Secure Enclave-Hardwaregeräts verbessert. Post-Quanten-Verschlüsselungsschemata erstellen jedes Mal neue Schlüssel, wenn ein böswilliger Akteur einen alten Schlüssel kompromittiert.
Diese Funktion kann Entwicklern von Krypto-Wallets dabei helfen, die Kryptosicherheit ihrer Kunden zu verbessern, indem sie wichtige Informationen in Secure Enclave speichern. Bisher hat mindestens ein Anbieter Secure Enclave verwendet, um Zugriff auf seine Wallet-App zu gewähren.
Reporter kontaktierten Binance und Coinbase, die weltweit größten Kryptowährungsbörsen, um herauszufinden, ob der Datenverstoß bei XY International ihre Benutzer beeinträchtigte. Keines der Unternehmen reagierte zum Zeitpunkt der Veröffentlichung.
#安全漏洞 #2FA