Résumé:
•Un chercheur en sécurité a récemment révélé qu'une grande base de données contenant les codes de vérification en deux étapes de l'entreprise avait été exposée publiquement.
•Les données concernent un service utilisé par Google, Meta et TikTok pour envoyer des messages texte contenant des codes de vérification afin de vérifier l'identité d'un utilisateur le plus rapidement possible. .
•Ces authentifications à deux facteurs présentent de nombreuses formes de criminalité, du piratage de l'iCloud d'une personne au vol de son numéro de téléphone en passant par le contournement du cryptage.
Un chercheur en sécurité a découvert une base de données non protégée qui gérait l'accès aux services de certaines des plus grandes entreprises technologiques du monde. La base de données appartient à un opérateur de routage de services de messages courts (SMS) chargé d'envoyer des codes d'authentification à deux facteurs (2FA) aux utilisateurs de Meta, Google et éventuellement de sociétés de cryptographie.
Le chercheur Anurag Sen a découvert que la base de données YX International de l'entreprise n'était pas protégée par mot de passe sur l'Internet public. Toute personne connaissant l’adresse IP (Internet Protocol) publique peut consulter les données.
Utilisateurs concernés par une violation d'authentification à deux facteurs
YX International envoie des codes de sécurité aux utilisateurs qui se connectent aux plateformes Meta, Google et TikTok. La société veille à ce que les messages des utilisateurs soient transmis rapidement via les réseaux mobiles mondiaux. Les messages qu'il envoie incluent des codes de sécurité qui font partie des systèmes d'authentification à deux facteurs utilisés par de nombreuses grandes entreprises pour protéger les comptes d'utilisateurs.
Certains fournisseurs de services, comme Google, peuvent vérifier l'authenticité de l'utilisateur en envoyant un code SMS après avoir saisi un mot de passe. D'autres options d'authentification incluent la génération d'une chaîne de codes à partir de l'application d'authentification pour compléter le mot de passe.
Même si l’authentification à deux facteurs vise à améliorer la sécurité, elle n’est pas une panacée. Par conséquent, l’échange cryptographique Coinbase prévient que 2FA est une mesure de sécurité minimale mais pas absolument sécurisée. Les pirates peuvent encore trouver un moyen de voler des fonds dans les portefeuilles cryptographiques.
Coinbase a déclaré :
"Bien que 2FA soit conçu pour accroître la sécurité, il n'est pas infaillible. Les pirates qui obtiennent une authentification à deux facteurs peuvent toujours obtenir un accès non autorisé aux comptes. Les méthodes courantes incluent les attaques de phishing, les procédures de récupération de compte et les logiciels malveillants. Pirates Il est également possible d'intercepter du texte messages utilisés dans 2FA.
Les criminels utilisent ces méthodes pour contourner le 2FA
L’année dernière, des rapports ont été publiés sur la manière dont les criminels contournaient le 2FA sur les appareils Apple. Les pirates peuvent accéder à la plateforme cloud iCloud d'Apple et remplacer le numéro de téléphone d'un utilisateur par le leur. Ce système compromet les fonds détenus dans les applications de portefeuille cryptographique sur les appareils Apple, car certaines applications peuvent envoyer des codes de vérification à des numéros de téléphone compromis.
Les criminels peuvent également utiliser l’échange de carte SIM pour effectuer des escroqueries cryptographiques de vérification en deux étapes. Dans cette méthode d'attaque, les criminels convainquent les opérateurs de téléphonie mobile tels qu'AT&T ou Verizon de transférer les numéros de téléphone du propriétaire légitime au nom du fraudeur. Le criminel n’a alors besoin que d’une information supplémentaire pour accéder à l’application de portefeuille auto-hébergée qui possède réellement le numéro de téléphone.
À la lumière de l’essor de la technologie quantique, Apple a récemment amélioré la sécurité de son périphérique matériel Secure Enclave intégré aux iPhones. Les systèmes de chiffrement post-quantique créent de nouvelles clés chaque fois qu’un acteur malveillant compromet une ancienne clé.
Cette fonctionnalité peut aider les développeurs de portefeuilles cryptographiques à améliorer la sécurité cryptographique de leurs clients en stockant des informations critiques dans Secure Enclave. Jusqu'à présent, au moins un fournisseur a utilisé Secure Enclave pour accorder l'accès à son application de portefeuille.
Les journalistes ont contacté Binance et Coinbase, les plus grandes bourses de crypto-monnaie au monde, pour savoir si la violation de données de XY International affectait leurs utilisateurs. Aucune des deux sociétés n’a répondu au moment de la publication.
#安全漏洞 #2FA