W USA wyciekły wrażliwe dane

20 listopada 2018, 08:58
cyberspace-2784907_1280
fot. jarmoluk/pixabay

Wyciekły dane z bazy należącej do amerykańskiej firmy telekomunikacyjnej Voxox. To wiele milionów wiadomości tekstowych, często zawierających dane wrażliwe, m.in. kody do uwierzytelniania dwuskładnikowego czy linki resetujące hasła - podał serwis Tech Crunch.

Zdaniem badacza cyberbezpieczeństwa Sebastiana Kaula, który odkrył wyciek dzięki bazie danych Shodan, zawierającej informacje o publicznie dostępnych serwerach i zbiorach informacji, serwer należący do Voxox nie był zabezpieczony hasłem. Oznacza to, że dostęp do przechowywanych na nim danych mógł mieć każdy zainteresowany. Jak powiedział Kaul, po wejściu na serwer można było obserwować "strumień wiadomości SMS rejestrowanych niemalże w czasie rzeczywistym".

Baza danych Voxox działała w oparciu o usługę Amazon Elasticsearch z interfejsem Kibana, dzięki czemu można w niej było łatwo wyszukiwać żądane informacje, np. według nazwisk, numerów telefonów czy zawartości wiadomości. Ekspert podkreślił, że niewielu użytkowników myśli o tym, co dzieje się w chwili, gdy otrzymują wiadomość SMS od firmy, np. z informacją na temat zamówionej przesyłki. Firmy bardzo często korzystają do obsługi tego rodzaju usług z technologii dostarczanej przez zewnętrzne podmioty, takie jak np. spółki Telesign czy Nexmo, które weryfikują numery telefonów użytkowników, bądź wysyłają kody uwierzytelniania dwuskładnikowego. Podmioty w rodzaju Voxox pełnią wówczas rolę pośrednika, który konwertuje wygenerowany kod do wiadomości tekstowej, następnie przesyłanej z użyciem sieci wybranego operatora telefonii komórkowej.

Voxox po ujawnieniu sprawy usunął bazę danych z sieci. Według Kaula, zawierała ona co najmniej 26 mln wiadomości tekstowych. Dzięki ich analizie można było np. zdobyć hasło użytkownika służące jednemu z mieszkańców Los Angeles do logowania się w aplikacji Badoo, albo kody uwierzytelniające dostęp dwuskładnikowy do kont Google użytkowników z Ameryki Łacińskiej.

PAP - mini

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.