摘要:
•最近有一名安全研究人員披露,一個包含公司雙重驗證碼的大數據庫被公開曝光。
•這些數據與 Google、Meta 和 TikTok 使用的一項服務相關,該服務旨在發送包含驗證代碼的短信,以便儘快驗證用戶身份。。
•這些雙重身份驗證呈現了多種形式犯罪,從侵入一個人的 iCloud 到竊取他們的電話號碼,再到繞過加密。
一名安全研究人員發現了一個不受保護的數據庫,該數據庫管理擁有對一些世界上最大的科技公司服務的訪問權限。該數據庫屬於短信服務 (SMS) 路由運營商,負責向 Meta、谷歌和可能的加密公司的用戶發送雙重身份驗證 (2FA) 代碼。
研究人員Anurag Sen發現,這家公司的YX International數據庫在公共互聯網上沒有密碼保護。任何知道公共互聯網協議(IP)地址的人都可以查看數據。
受受雙重身份驗證泄漏影響的用戶
YX International向登陸Meta、Google和TikTok平臺的用戶發送安全代碼。該公司確保用戶的消息通過全球移動網絡迅速傳遞。它發送的消息中包括安全代碼,這些安全代碼構成許多大公司用來保護用戶帳戶的雙重身份驗證方案的一部分。
某些服務提供商(例如 Google)可以在輸入密碼後發送短信代碼來驗證用戶的真實性。其他身份驗證選項,包括從認證應用程序中生成一串代碼來補充密碼。
雖然雙重身份驗證旨在提高安全性,但並非靈丹妙藥。因此,加密交易所Coinbase警告稱,2FA是一項最低安全措施,但並非絕對安全。黑客仍然可能找到一種方法從加密錢包中竊取資金。
Coinbase表示:
“雖然2FA旨在提高安全性,但它並不是萬無一失的。獲得雙重身份驗證的黑客仍然可以獲得對帳戶的未經授權的訪問。常見的方法包括網絡釣魚攻擊、帳戶恢復程序和惡意軟件。黑客還可以攔截2FA中使用的短信。”
犯罪分子正在使用這些方法來繞過 2FA
去年,有關犯罪分子如何繞過蘋果設備上的2FA的報道出現了。黑客可以訪問蘋果的雲平臺iCloud,並用自己的電話號碼替換用戶的電話號碼。這種方案危及了蘋果設備上加密錢包應用中的資金,因爲一些應用可能會將驗證代碼發送給被攻擊的電話號碼。
罪犯還可以使用SIM卡交換來進行兩步驗證的加密詐騙。在這種攻擊方式中,罪犯說服AT&T或Verizon等移動運營商將電話號碼從正當所有者轉移到欺詐者名下。之後,罪犯只需要另一份信息即可訪問真正擁有電話號碼的自託管錢包應用。
鑑於量子技術的激增,蘋果最近改進了嵌入在iPhone中的Secure Enclave硬件設備的安全性。每當惡意行爲者破壞舊密鑰時,後量子加密方案就會創建新密鑰。
這一功能可以幫助加密錢包開發人員,通過將關鍵信息存儲在Secure Enclave中來提高客戶的加密安全性。到目前爲止,至少有一個供應商已經使用Secure Enclave來授予對其錢包應用的訪問權限。
記者聯繫了全球最大的加密貨幣交易所幣安和Coinbase,以瞭解XY國際數據泄露是否影響了他們的用戶。截至發佈時,兩家公司均未做出迴應。
#安全漏洞 #2FA
