まとめ:
•セキュリティ研究者は最近、企業の 2 段階認証コードを含む大規模なデータベースが公開されたことを明らかにしました。
•データは、Google、Meta、TikTok がユーザーの身元をできるだけ早く確認するために確認コードを含むテキスト メッセージを送信するために使用するサービスに関連しています。 。
•これらの 2 要素認証は、個人の iCloud へのハッキングから電話番号の盗用、暗号化のバイパスまで、さまざまな形態の犯罪を引き起こします。
セキュリティ研究者が、世界最大手のテクノロジー企業のサービスへのアクセスを管理していた保護されていないデータベースを発見しました。このデータベースは、メタ、Google、および場合によっては暗号化企業のユーザーに 2 要素認証 (2FA) コードを送信する責任を負うショート メッセージ サービス (SMS) ルーティング オペレーターに属しています。
研究者のアヌラグ・セン氏は、同社の YX International データベースが公共のインターネット上でパスワードで保護されていないことを発見しました。パブリック インターネット プロトコル (IP) アドレスを知っている人なら誰でもデータを表示できます。
二要素認証侵害の影響を受けるユーザー
YX International は、Meta、Google、TikTok プラットフォームにログインするユーザーにセキュリティ コードを送信します。同社は、ユーザーのメッセージがグローバルなモバイル ネットワークを通じて迅速に配信されることを保証します。送信されるメッセージには、多くの大企業がユーザー アカウントを保護するために使用する 2 要素認証スキームの一部を形成するセキュリティ コードが含まれています。
Google などの一部のサービス プロバイダーは、パスワードを入力した後に SMS コードを送信することでユーザーの信頼性を確認できます。他の認証オプションには、パスワードを補足するために認証アプリケーションからコード文字列を生成することが含まれます。
2 要素認証はセキュリティを向上させるために設計されていますが、特効薬ではありません。その結果、仮想通貨取引所Coinbaseは、2FAは最低限のセキュリティ対策ではあるが、絶対に安全というわけではないと警告している。ハッカーは依然として暗号通貨ウォレットから資金を盗む方法を見つける可能性があります。
コインベースは次のように述べています。
「2FA はセキュリティを強化するように設計されていますが、確実ではありません。ハッカーは 2 要素認証を取得しても、アカウントに不正アクセスできる可能性があります。一般的な方法には、フィッシング攻撃、アカウント回復手順、マルウェアが含まれます。ハッカーによるテキストの傍受も可能です」 2FA で使用されるメッセージ。」
犯罪者はこれらの方法を使用して 2FA を回避しています
昨年、犯罪者が Apple デバイス上で 2FA をどのように回避しているかについての報告が発表されました。ハッカーは Apple のクラウド プラットフォーム iCloud にアクセスし、ユーザーの電話番号を自分のものに置き換える可能性があります。一部のアプリは侵害された電話番号に確認コードを送信する可能性があるため、このスキームは Apple デバイス上の暗号ウォレット アプリに保持されている資金を侵害します。
犯罪者は SIM スワッピングを利用して 2 段階認証の暗号詐欺を行うこともできます。この攻撃方法では、犯罪者は AT&T や Verizon などの携帯通信会社を説得して、電話番号を正当な所有者から詐欺師の名前に転送させます。犯罪者は、実際に電話番号を持っているセルフホスト型ウォレット アプリにアクセスするために必要な情報はあと 1 つだけです。
量子技術の急増を考慮して、Apple は最近、iPhone に組み込まれた Secure Enclave ハードウェア デバイスのセキュリティを向上させました。ポスト量子暗号化スキームは、悪意のある攻撃者が古いキーを侵害するたびに新しいキーを作成します。
この機能は、暗号ウォレット開発者が重要な情報を Secure Enclave に保存することで顧客の暗号セキュリティを向上させるのに役立ちます。これまでのところ、少なくとも 1 つのプロバイダーが Secure Enclave を使用してウォレット アプリへのアクセスを許可しています。
記者らは世界最大の仮想通貨取引所であるバイナンスとコインベースに連絡し、XYインターナショナルのデータ侵害がユーザーに影響を与えたかどうかを調べた。両社ともこの記事の掲載時点で返答はなかった。
#安全漏洞 #2FA