Đây là lý do tại sao xác thực tài khoản không nên sử dụng SMS. Một lỗi bảo mật cơ sở dữ liệu được tiết lộ vào thứ Sáu phục vụ như một lời nhắc nhở rằng những ngày xác thực dựa trên SMS sẽ kết thúc.
Cơ sở dữ liệu, không được bảo vệ bởi mật khẩu, chứa 26 triệu tin nhắn văn bản, một số là mã xác minh hai bước và liên kết đặt lại mật khẩu, báo cáo TechCrunch. Khi nó được tìm thấy, cơ sở dữ liệu vẫn đang ghi lại các văn bản trong thời gian gần thực, cung cấp một nguồn tài nguyên khổng lồ cho những kẻ tấn công tiềm năng.
Cơ sở dữ liệu chạy trên Elasticsearch của Amazon và sử dụng Kibana, một công cụ trực quan hóa và truy vấn để có thể tìm kiếm thông qua khối lượng dữ liệu cho chuỗi văn bản và số điện thoại, báo cáo của TechCrunch.
Một nhà nghiên cứu bảo mật, Sébastien Kaul của Berlin, đã phát hiện ra cơ sở dữ liệu sử dụng công cụ tìm kiếm Shodan, theo TechCrunch. Cơ sở dữ liệu này thuộc về Voxox, một công ty có trụ sở tại San Diego trước đây có tên Telecentris, chuyên về VOIP, SMS số lượng lớn và các dịch vụ viễn thông dựa trên đám mây khác.
Voxox cung cấp dịch vụ để giúp các tổ chức gửi SMS bằng giao thức SMPP - giao thức SMPP hoặc một API dịch vụ web. Voxox xử lý bất kỳ thông báo nào mà một tổ chức muốn gửi cùng và sau đó chuyển nó tới các mạng di động.
Điều đó làm cho công ty trở thành một phần quan trọng của chuỗi an ninh. Techcrunch báo cáo rằng một cuộc săn lùng qua các cơ sở dữ liệu cho thấy nó chứa mã và thông điệp được truyền bởi một loạt các công ty lớn, bao gồm Microsoft, Yahoo, Fidelity Investments, Badoo và nhiều hơn nữa.
Sau khi Techcrunch thông báo cho Voxox, cơ sở dữ liệu đã được đưa ra ngoại tuyến. Những nỗ lực của Tập đoàn truyền thông an ninh thông tin để tiếp cận các quan chức Voxox đã không thành công ngay lập tức.
Nguy cơ gây ra bằng cách gửi bất cứ điều gì thông qua tin nhắn SMS là nổi tiếng và đã được nhiều lần gắn cờ. Vào tháng 7 năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia đã thông báo rằng SMS sẽ không được dùng nữa.
SMS tiếp tục gây ra những rủi ro đáng kể cho các cá nhân bởi vì kẻ tấn công ngày càng khai thác những thông điệp này thông qua các cuộc tấn công dữ dội hơn như một phương tiện để xâm phạm tài khoản.
Hoán đổi SIM hoặc tấn công - nơi kẻ tấn công giành quyền kiểm soát số điện thoại di động của ai đó - có thể được sử dụng để nắm bắt mã xác minh hai bước được gửi bằng SMS. Những cuộc tấn công như vậy có thể không có quyền kiểm soát mạnh mẽ đối với việc xác minh khách hàng khi có ai đó yêu cầu một SIM mới hoặc chuyển một số cổng (xem: Đã qua trong 15 phút: Vấn đề về số điện thoại của Úc).
Mối quan tâm cũng rất nhiều về Hệ thống báo hiệu số 7, hoặc SS7, giao thức định tuyến các cuộc gọi điện thoại được phát triển lần đầu tiên vào những năm 1970. Giao thức này có trách nhiệm cho phép chuyển vùng di động trên toàn thế giới bằng cách kết nối với cơ sở dữ liệu Địa điểm Nhà đăng ký, chứa dữ liệu thuê bao và định tuyến.
Nhưng truy cập giả mạo đến SS7 có thể dẫn đến rất nhiều nghịch ngợm, bởi vì nó có thể theo dõi vị trí của thiết bị, chặn cuộc gọi hoặc dịch vụ gián đoạn. Năm ngoái, tin tặc đã truy cập vào SS7 và chuyển tiếp cuộc gọi và tin nhắn từ số điện thoại đến số riêng của họ, cho phép họ nắm bắt mã số một lần cho tài khoản ngân hàng ở Đức (xem: Tài khoản ngân hàng tin tặc sử dụng SS7 để chặn mã bảo mật).
Không có nhận xét nào:
Đăng nhận xét