Kody 2FA, kody resetu hasła – 26 milionów SMS-ów mógł przeczytać każdy!

Baza jednej z amerykańskich firm telco została zlokalizowana z wykorzystaniem… shodana. Żeby było ciekawiej, bez żadnego zabezpieczenia dostępna była w Internecie Kibana – czyli interfejs umożliwiający łatwe wyszukiwanie w Elasticsearch.  I dalej, znając już konkrety adres, każdy mógł realizować zapytania np. po numerach telefonu:

voxox

Badacz, który odkrył problem uzyskał też unikalny przegląd tego co można znaleźć w SMSach:

• kody 2FA do kont Google
• linki z Amazona – śledzenie przesyłek
• tymczasowe hasło do bankowości elektronicznej
• hasło plaintext do serwisu randkowego
• kod resetu hasła do konta Microsoft
• więcej szczegółów tutaj.

Jak się zabezpieczyć przed tego typu problemem? Najlepiej przejść na inny „drugi czynnik” w ramach 2FA – np. Google Authenticator.

–ms