一傢在全球范圍內發送數百萬條短信的技術公司保護一個被曝光的數據庫,該數據庫泄露一次性安全代碼,而這些代碼可能允許用戶訪問他們的Facebook、Google和TikTok賬戶。亞洲技術和互聯網公司YXInternational生產蜂窩網絡設備,並提供SMS短信路由服務。
短信路由服務有助於將時間緊迫的短信通過不同地區的蜂窩網絡和供應商發送到正確的目的地,例如用戶接收短信安全代碼或登錄在線服務的鏈接。
YX International 聲稱每天發送500 萬條短信。但是,這傢技術公司將其一個內部數據庫暴露在互聯網上,沒有設置密碼,任何人隻需知道數據庫的公共 IP 地址,就可以使用網絡瀏覽器訪問其中的敏感數據。
阿努拉格-森(Anurag Sen)是一位白帽黑客黑客,也是發現敏感但無意中泄露到互聯網上的數據集的專傢,他發現這個數據庫。森說,目前還不清楚該數據庫屬於誰,也不知道該向誰報告泄漏事件,因此森分享被曝光數據庫的詳細信息,以幫助確定其所有者並報告安全漏洞。
被曝光的數據庫包括發送給用戶的短信內容,其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和網絡公司的一次性密碼和密碼重置鏈接。
該數據庫的月度日志可追溯到 2023 年 7 月,並且每分鐘都在增長。
雙因素身份驗證(2FA)通過向受信任的設備(如某人的手機)發送附加代碼,提供更強的保護,防止依賴密碼竊取的在線賬戶劫持。但是,通過短信發送的密碼不如基於應用程序的密碼生成器等更強大的 2FA 方式安全,因為短信很容易被攔截或曝光,在這種情況下,密碼就會從數據庫泄露到開放網絡上。
TechCrunch 在曝光的數據庫中發現與 YX International 相關的幾組內部電子郵件地址和相應的密碼,並向該公司發出數據庫泄漏的警報。數據庫很快就下線。YX International 的一位沒有提供姓名的代表很快做出回應,稱公司"封堵這個漏洞"。
YX International 的代表說,服務器沒有存儲訪問日志,因此無法確定除 Sen 之外是否有其他人發現被暴露的數據庫及其內容,並且也未說明數據庫暴露多長時間。