Bản tóm tắt:
•Một nhà nghiên cứu bảo mật gần đây đã tiết lộ rằng một cơ sở dữ liệu lớn chứa mã xác minh hai bước của công ty đã bị lộ công khai.
•Dữ liệu liên quan đến dịch vụ được Google, Meta và TikTok sử dụng để gửi tin nhắn văn bản chứa mã xác minh nhằm xác minh danh tính người dùng nhanh nhất có thể. .
•Xác thực hai yếu tố này gây ra nhiều hình thức tội phạm, từ xâm nhập vào iCloud của một người, đánh cắp số điện thoại của họ cho đến vượt qua mã hóa.
Một nhà nghiên cứu bảo mật đã phát hiện ra một cơ sở dữ liệu không được bảo vệ quản lý quyền truy cập vào dịch vụ của một số công ty công nghệ lớn nhất thế giới. Cơ sở dữ liệu thuộc về nhà điều hành định tuyến dịch vụ tin nhắn ngắn (SMS) chịu trách nhiệm gửi mã xác thực hai yếu tố (2FA) cho người dùng Meta, Google và có thể cả các công ty tiền điện tử.
Nhà nghiên cứu Anurag Sen phát hiện ra rằng cơ sở dữ liệu YX International của công ty không được bảo vệ bằng mật khẩu trên internet công cộng. Bất kỳ ai biết địa chỉ Giao thức Internet (IP) công cộng đều có thể xem dữ liệu.
Người dùng bị ảnh hưởng bởi vi phạm xác thực hai yếu tố
YX International gửi mã bảo mật cho người dùng đăng nhập vào nền tảng Meta, Google và TikTok. Công ty đảm bảo rằng tin nhắn của người dùng được gửi nhanh chóng thông qua mạng di động toàn cầu. Các tin nhắn mà nó gửi bao gồm các mã bảo mật tạo thành một phần của cơ chế xác thực hai yếu tố được nhiều công ty lớn sử dụng để bảo vệ tài khoản người dùng.
Một số nhà cung cấp dịch vụ, chẳng hạn như Google, có thể xác minh tính xác thực của người dùng bằng cách gửi mã SMS sau khi nhập mật khẩu. Các tùy chọn xác thực khác bao gồm tạo chuỗi mã từ ứng dụng xác thực để bổ sung cho mật khẩu.
Mặc dù xác thực hai yếu tố được thiết kế để cải thiện tính bảo mật nhưng nó không phải là một phương pháp thần kỳ. Do đó, sàn giao dịch tiền điện tử Coinbase cảnh báo rằng 2FA là biện pháp bảo mật tối thiểu nhưng không an toàn tuyệt đối. Tin tặc vẫn có thể tìm cách đánh cắp tiền từ ví tiền điện tử.
Coinbase đã tuyên bố:
"Mặc dù 2FA được thiết kế để tăng cường bảo mật nhưng nó không phải là dễ dàng thực hiện. Tin tặc có được xác thực hai yếu tố vẫn có thể truy cập trái phép vào tài khoản. Các phương pháp phổ biến bao gồm tấn công lừa đảo, quy trình khôi phục tài khoản và phần mềm độc hại. Tin tặc cũng có thể chặn văn bản tin nhắn được sử dụng trong 2FA.”
Tội phạm đang sử dụng các phương pháp này để vượt qua 2FA
Năm ngoái, đã có nhiều báo cáo về cách bọn tội phạm vượt qua 2FA trên các thiết bị Apple. Tin tặc có thể truy cập nền tảng đám mây iCloud của Apple và thay thế số điện thoại của người dùng bằng số điện thoại của họ. Kế hoạch này xâm phạm số tiền được giữ trong các ứng dụng ví tiền điện tử trên thiết bị Apple, vì một số ứng dụng có thể gửi mã xác minh đến các số điện thoại bị xâm phạm.
Tội phạm cũng có thể sử dụng tính năng hoán đổi SIM để tiến hành lừa đảo tiền điện tử xác minh hai bước. Trong phương thức tấn công này, bọn tội phạm thuyết phục các nhà mạng di động như AT&T hay Verizon chuyển số điện thoại từ chủ sở hữu hợp pháp sang tên của kẻ lừa đảo. Sau đó, tội phạm chỉ cần thêm một thông tin nữa để có quyền truy cập vào ứng dụng ví tự lưu trữ thực sự có số điện thoại.
Trước sự phát triển của công nghệ lượng tử, Apple gần đây đã cải thiện tính bảo mật của thiết bị phần cứng Secure Enclave được nhúng trong iPhone. Các sơ đồ mã hóa hậu lượng tử tạo ra các khóa mới mỗi khi tác nhân độc hại xâm phạm khóa cũ.
Tính năng này có thể giúp các nhà phát triển ví tiền điện tử cải thiện tính bảo mật tiền điện tử của khách hàng bằng cách lưu trữ thông tin quan trọng trong Secure Enclave. Cho đến nay, ít nhất một nhà cung cấp đã sử dụng Secure Enclave để cấp quyền truy cập vào ứng dụng ví của mình.
Các phóng viên đã liên hệ với Binance và Coinbase, các sàn giao dịch tiền điện tử lớn nhất thế giới, để tìm hiểu xem liệu vụ vi phạm dữ liệu XY International có ảnh hưởng đến người dùng của họ hay không. Cả hai công ty đều không phản hồi vào thời điểm công bố.
#安全漏洞 #2FA
