Milyonlarca SMS mesajını dünya çapında yönlendiren bir teknoloji şirketi, kullanıcıların Facebook, Google ve TikTok hesaplarına erişmesine izin verebilecek tek seferlik güvenlik kodlarını sızdıran bir veritabanını ele geçirdi.
Asyalı teknoloji ve internet şirketi YX International, hücresel ağ ekipmanı üretiyor ve SMS metin mesajı yönlendirme hizmetleri sağlıyor. SMS yönlendirme, zaman açısından kritik metin mesajlarının çeşitli bölgesel hücresel ağlar ve sağlayıcılar üzerinden doğru varış noktasına ulaştırılmasına yardımcı olur; çevrimiçi hizmetlere giriş yapmak için SMS güvenlik kodu veya bağlantısı alan bir kullanıcı.
YX International göndermeyi iddia ediyor Günde 5 milyon SMS mesajı.
Ancak teknoloji şirketi, dahili veritabanlarından birini şifresiz olarak internete açık bıraktı ve herkesin yalnızca bir web tarayıcısı kullanarak, yalnızca veritabanının genel IP adresi bilgisine sahip olarak içerideki hassas verilere erişmesine izin verdi.
Anurag Senİyi niyetli bir güvenlik araştırmacısı ve internete sızan hassas ancak yanlışlıkla açığa çıkan veri kümelerini keşfetme konusunda uzman olan veritabanını buldu. Sen, veritabanının kime ait olduğunun ya da sızıntıyı kime bildireceğinin belli olmadığını söyledi. Bu nedenle Sen, sahibinin belirlenmesine ve güvenlik açığının bildirilmesine yardımcı olmak için açığa çıkan veritabanının ayrıntılarını TechCrunch ile paylaştı.
Sen, TechCrunch’a, açığa çıkan veri tabanının, Facebook ve WhatsApp, Google, TikTok ve diğerleri de dahil olmak üzere dünyanın en büyük teknoloji ve çevrimiçi şirketlerinden bazılarının tek kullanımlık şifreleri ve şifre sıfırlama bağlantıları da dahil olmak üzere kullanıcılara gönderilen kısa mesajların içeriğini içerdiğini söyledi.
Veritabanının Temmuz 2023’e kadar uzanan aylık günlükleri vardı ve her geçen dakika boyutu büyüyordu.
İki faktörlü kimlik doğrulama (2FA), birinin telefonu gibi güvenilir bir cihaza ek kod göndererek şifre hırsızlığına dayanan çevrimiçi hesap ele geçirmelerine karşı daha fazla koruma sağlar. Açık veritabanında bulunanlar gibi iki faktörlü kodlar ve parola sıfırlama işlemleri genellikle birkaç dakika sonra veya kullanıldıktan sonra sona erer.
Ancak SMS metin mesajları üzerinden gönderilen kodlar, 2FA’nın (örneğin, uygulama tabanlı bir kod oluşturucu) daha güçlü biçimleri kadar güvenli değildir; çünkü SMS metin mesajları, müdahaleye veya ifşa edilmeye veya bu durumda bir veritabanından açık alana sızmaya eğilimlidir. ağ.
TechCrunch, açığa çıkan veritabanında YX International ile ilişkili dahili e-posta adresleri ve bunlara karşılık gelen şifreleri buldu ve şirketi sızıntı veritabanına karşı uyardı. Veritabanı kısa bir süre sonra çevrimdışı oldu. Adını vermeyen bir YX International temsilcisi, şirketin “bu güvenlik açığını kapattığını” söyledikten kısa bir süre sonra yanıt verdi.
TechCrunch tarafından sorulduğunda YX International temsilcisi, sunucunun erişim günlüklerini saklamadığını, bunun Sen’den başka birinin açığa çıkan veritabanını ve içeriğini keşfedip keşfetmediğini belirleyeceğini söyledi.
YX International, veritabanının ne kadar süreyle açığa çıktığını söylemedi.
E-postayla ulaşılan Meta sözcüsü yorum yapmadı. Google ve TikTok sözcüleri yorum taleplerine yanıt vermedi.