Kody 2FA, kody resetu hasła – 26 milionów SMS-ów mógł przeczytać każdy!

17 listopada 2018, 12:10 | W biegu | 0 komentarzy
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Baza jednej z amerykańskich firm telco została zlokalizowana z wykorzystaniem… shodana. Żeby było ciekawiej, bez żadnego zabezpieczenia dostępna była w Internecie Kibana – czyli interfejs umożliwiający łatwe wyszukiwanie w Elasticsearch.  I dalej, znając już konkrety adres, każdy mógł realizować zapytania np. po numerach telefonu:

voxox

Badacz, który odkrył problem uzyskał też unikalny przegląd tego co można znaleźć w SMSach:

  • kody 2FA do kont Google
  • linki z Amazona – śledzenie przesyłek
  • tymczasowe hasło do bankowości elektronicznej
  • hasło plaintext do serwisu randkowego
  • kod resetu hasła do konta Microsoft
  • więcej szczegółów tutaj.

Jak się zabezpieczyć przed tego typu problemem? Najlepiej przejść na inny „drugi czynnik” w ramach 2FA – np. Google Authenticator.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz