Streszczenie:
•Badacz bezpieczeństwa ujawnił niedawno, że duża baza danych zawierająca firmowe kody weryfikacji dwuetapowej została publicznie ujawniona.
•Dane dotyczą usługi wykorzystywanej przez Google, Meta i TikTok do wysyłania wiadomości tekstowych zawierających kody weryfikacyjne w celu możliwie najszybszej weryfikacji tożsamości użytkownika. .
•Te uwierzytelnienia dwuskładnikowe stanowią zagrożenie dla wielu form przestępczości, od włamania się do konta iCloud danej osoby, poprzez kradzież jej numeru telefonu, aż po obejście szyfrowania.
Badacz bezpieczeństwa odkrył niechronioną bazę danych, która zarządzała dostępem do usług niektórych z największych firm technologicznych na świecie. Baza danych należy do operatora routingu krótkich wiadomości tekstowych (SMS), odpowiedzialnego za wysyłanie kodów uwierzytelniania dwuskładnikowego (2FA) do użytkowników Meta, Google i ewentualnie firm kryptograficznych.
Badacz Anurag Sen odkrył, że baza danych firmy YX International nie była chroniona hasłem w publicznym Internecie. Każdy, kto zna publiczny adres protokołu internetowego (IP), może przeglądać dane.
Użytkownicy dotknięci naruszeniem uwierzytelniania dwuskładnikowego
YX International wysyła kody zabezpieczające użytkownikom logującym się na platformach Meta, Google i TikTok. Firma dba o to, aby wiadomości użytkowników były szybko dostarczane za pośrednictwem globalnych sieci komórkowych. Wysyłane wiadomości zawierają kody bezpieczeństwa stanowiące część schematów uwierzytelniania dwuskładnikowego używanych przez wiele dużych firm do ochrony kont użytkowników.
Niektórzy usługodawcy, np. Google, mogą zweryfikować autentyczność użytkownika, wysyłając kod SMS po wpisaniu hasła. Inne opcje uwierzytelniania obejmują generowanie ciągu kodów z aplikacji uwierzytelniającej w celu uzupełnienia hasła.
Chociaż uwierzytelnianie dwuskładnikowe ma na celu poprawę bezpieczeństwa, nie jest to magiczny środek. W rezultacie giełda kryptowalut Coinbase ostrzega, że 2FA to minimalny środek bezpieczeństwa, ale nie całkowicie bezpieczny. Hakerzy nadal mogą znaleźć sposób na kradzież środków z portfeli kryptowalutowych.
Coinbase stwierdził:
„Chociaż 2FA ma na celu zwiększenie bezpieczeństwa, nie jest niezawodne. Hakerzy, którzy uzyskają uwierzytelnianie dwuskładnikowe, nadal mogą uzyskać nieautoryzowany dostęp do kont. Typowe metody obejmują ataki phishingowe, procedury odzyskiwania konta i złośliwe oprogramowanie. Hakerzy Możliwe jest również przechwytywanie tekstu wiadomości używane w 2FA.”
Przestępcy wykorzystują te metody do ominięcia 2FA
W zeszłym roku pojawiły się doniesienia o tym, jak przestępcy omijali 2FA na urządzeniach Apple. Hakerzy mogą uzyskać dostęp do platformy chmurowej Apple iCloud i zastąpić numer telefonu użytkownika własnym. Ten schemat zagraża środkom przechowywanym w aplikacjach portfeli kryptowalutowych na urządzeniach Apple, ponieważ niektóre aplikacje mogą wysyłać kody weryfikacyjne na przejęte numery telefonów.
Przestępcy mogą również wykorzystywać wymianę kart SIM do przeprowadzania dwuetapowych oszustw związanych z weryfikacją kryptowalut. W tej metodzie ataku przestępcy przekonują operatorów komórkowych, takich jak AT&T czy Verizon, do przeniesienia numerów telefonów prawowitego właściciela na nazwisko oszusta. Przestępca potrzebuje wówczas jeszcze tylko jednej informacji, aby uzyskać dostęp do hostowanej samodzielnie aplikacji portfela, która faktycznie zawiera numer telefonu.
W świetle gwałtownego rozwoju technologii kwantowej firma Apple poprawiła niedawno bezpieczeństwo swojego urządzenia sprzętowego Secure Enclave wbudowanego w iPhone'y. Schematy szyfrowania postkwantowego tworzą nowe klucze za każdym razem, gdy złośliwy aktor złamie stary klucz.
Ta funkcja może pomóc twórcom portfeli kryptowalutowych poprawić bezpieczeństwo kryptowalut swoich klientów poprzez przechowywanie kluczowych informacji w Secure Enclave. Jak dotąd co najmniej jeden dostawca użył Secure Enclave do udzielenia dostępu do swojej aplikacji portfela.
Reporterzy skontaktowali się z Binance i Coinbase, największymi giełdami kryptowalut na świecie, aby dowiedzieć się, czy naruszenie danych XY International wpłynęło na ich użytkowników. Żadna firma nie odpowiedziała do czasu publikacji.
#安全漏洞 #2FA