Резюме:
• Дослідник безпеки нещодавно виявив, що велика база даних, яка містить двоетапні коди перевірки компанії, була відкритою.
• Дані стосуються служби, яка використовується Google, Meta і TikTok для надсилання текстових повідомлень із кодами підтвердження для якнайшвидшої перевірки особи користувача. .
• Ці двофакторні автентифікації представляють багато форм злочину, від злому iCloud особи до викрадення її номера телефону до обходу шифрування.
Дослідник безпеки виявив незахищену базу даних, яка керувала доступом до послуг деяких з найбільших світових технологічних компаній. База даних належить оператору служби коротких повідомлень (SMS), який відповідає за надсилання кодів двофакторної автентифікації (2FA) користувачам Meta, Google і, можливо, криптокомпаній.
Дослідник Анураг Сен виявив, що база даних компанії YX International не була захищена паролем у публічному Інтернеті. Будь-хто, хто знає загальнодоступну адресу Інтернет-протоколу (IP), може переглянути дані.
Користувачі, які постраждали від порушення двофакторної автентифікації
YX International надсилає коди безпеки користувачам, які входять на платформи Meta, Google і TikTok. Компанія забезпечує швидку доставку повідомлень користувачів через глобальні мобільні мережі. Повідомлення, які він надсилає, містять коди безпеки, які є частиною схем двофакторної автентифікації, які використовуються багатьма великими компаніями для захисту облікових записів користувачів.
Деякі постачальники послуг, наприклад Google, можуть перевірити автентичність користувача, надіславши SMS-код після введення пароля. Інші параметри автентифікації включають створення рядка кодів із програми автентифікації для доповнення до пароля.
Хоча двофакторна автентифікація розроблена для підвищення безпеки, це не чарівна куля. У результаті криптобіржа Coinbase попереджає, що 2FA є мінімальним заходом безпеки, але не абсолютно безпечним. Хакери все ще можуть знайти спосіб викрасти кошти з криптогаманців.
Coinbase заявив:
«Хоча 2FA призначений для підвищення безпеки, він не надійний. Хакери, які отримують двофакторну автентифікацію, все одно можуть отримати неавторизований доступ до облікових записів. Поширені методи включають фішингові атаки, процедури відновлення облікових записів і зловмисне програмне забезпечення. Хакери Також можна перехопити текст повідомлення, що використовуються в 2FA».
Злочинці використовують ці методи для обходу 2FA
Минулого року з’явилися повідомлення про те, як злочинці обходять 2FA на пристроях Apple. Хакери можуть отримати доступ до хмарної платформи Apple iCloud і замінити номер телефону користувача своїм власним. Ця схема компрометує кошти, що зберігаються в програмах крипто-гаманців на пристроях Apple, оскільки деякі програми можуть надсилати коди підтвердження на зламані телефонні номери.
Зловмисники також можуть використовувати заміну SIM-карти для здійснення криптошахрайства з двоетапною перевіркою. У цьому методі атаки злочинці переконують операторів мобільного зв’язку, таких як AT&T або Verizon, передати номери телефонів від законного власника на ім’я шахрая. Тоді злочинцю потрібна лише ще одна інформація, щоб отримати доступ до програми гаманця, яка фактично містить номер телефону.
У світлі сплеску квантових технологій Apple нещодавно покращила безпеку свого апаратного пристрою Secure Enclave, вбудованого в iPhone. Постквантові схеми шифрування створюють нові ключі кожного разу, коли зловмисник компрометує старий ключ.
Ця функція може допомогти розробникам крипто-гаманців покращити крипто-безпеку своїх клієнтів, зберігаючи критичну інформацію в Secure Enclave. Наразі принаймні один провайдер використовував Secure Enclave для надання доступу до свого додатка гаманця.
Журналісти зв’язалися з Binance та Coinbase, найбільшими криптовалютними біржами світу, щоб з’ясувати, чи вплинув витік даних XY International на їхніх користувачів. На момент публікації жодна компанія не відповіла.
#安全漏洞 #2FA
