摘要:
•最近有一名安全研究人员披露,一个包含公司双重验证码的大数据库被公开曝光。
•这些数据与 Google、Meta 和 TikTok 使用的一项服务相关,该服务旨在发送包含验证代码的短信,以便尽快验证用户身份。。
•这些双重身份验证呈现了多种形式犯罪,从侵入一个人的 iCloud 到窃取他们的电话号码,再到绕过加密。
一名安全研究人员发现了一个不受保护的数据库,该数据库管理拥有对一些世界上最大的科技公司服务的访问权限。该数据库属于短信服务 (SMS) 路由运营商,负责向 Meta、谷歌和可能的加密公司的用户发送双重身份验证 (2FA) 代码。
研究人员Anurag Sen发现,这家公司的YX International数据库在公共互联网上没有密码保护。任何知道公共互联网协议(IP)地址的人都可以查看数据。
受受双重身份验证泄漏影响的用户
YX International向登陆Meta、Google和TikTok平台的用户发送安全代码。该公司确保用户的消息通过全球移动网络迅速传递。它发送的消息中包括安全代码,这些安全代码构成许多大公司用来保护用户帐户的双重身份验证方案的一部分。
某些服务提供商(例如 Google)可以在输入密码后发送短信代码来验证用户的真实性。其他身份验证选项,包括从认证应用程序中生成一串代码来补充密码。
虽然双重身份验证旨在提高安全性,但并非灵丹妙药。因此,加密交易所Coinbase警告称,2FA是一项最低安全措施,但并非绝对安全。黑客仍然可能找到一种方法从加密钱包中窃取资金。
Coinbase表示:
“虽然2FA旨在提高安全性,但它并不是万无一失的。获得双重身份验证的黑客仍然可以获得对帐户的未经授权的访问。常见的方法包括网络钓鱼攻击、帐户恢复程序和恶意软件。黑客还可以拦截2FA中使用的短信。”
犯罪分子正在使用这些方法来绕过 2FA
去年,有关犯罪分子如何绕过苹果设备上的2FA的报道出现了。黑客可以访问苹果的云平台iCloud,并用自己的电话号码替换用户的电话号码。这种方案危及了苹果设备上加密钱包应用中的资金,因为一些应用可能会将验证代码发送给被攻击的电话号码。
罪犯还可以使用SIM卡交换来进行两步验证的加密诈骗。在这种攻击方式中,罪犯说服AT&T或Verizon等移动运营商将电话号码从正当所有者转移到欺诈者名下。之后,罪犯只需要另一份信息即可访问真正拥有电话号码的自托管钱包应用。
鉴于量子技术的激增,苹果最近改进了嵌入在iPhone中的Secure Enclave硬件设备的安全性。每当恶意行为者破坏旧密钥时,后量子加密方案就会创建新密钥。
这一功能可以帮助加密钱包开发人员,通过将关键信息存储在Secure Enclave中来提高客户的加密安全性。到目前为止,至少有一个供应商已经使用Secure Enclave来授予对其钱包应用的访问权限。
记者联系了全球最大的加密货币交易所币安和Coinbase,以了解XY国际数据泄露是否影响了他们的用户。截至发布时,两家公司均未做出回应。
#安全漏洞 #2FA
