Aktualności
Tech
Audio
Rozrywka
Podcast
![DailyWeb testuje: [WYWIAD] Które języki tłumaczy się najtrudniej? O AI, pięknych urządzeniach, projektowaniu produktów dla seniorów i młodych – rozmawiamy z Kamilem Cupiałem z VASCO](https://alfred.dailyweb.pl/wp-content/uploads/2022/01/wywiad-1-300x250.png)
Testujemy
(249)
WideoForbes odkrył wyciek milionów kodów bezpieczeństwa 2FA do takich serwisów jak Google, WhatsApp, Facebook czy TikTok.
Eksperci ds. bezpieczeństwa odradzają używanie wiadomości SMS jako kodów uwierzytelniania dwuskładnikowego ze względu na ich podatność na przechwycenie lub złamanie.
Jak możemy przeczytać w serwisie Forbes, niedawno badacz bezpieczeństwa odkrył w Internecie niezabezpieczoną bazę danych zawierającą miliony takich kodów, do których każdy mógł uzyskać łatwy dostęp.
Wyciek kodów 2FA
Wewnętrzna baza danych, odkryta przez badacza bezpieczeństwa Anuraga Sena, pozostała niezabezpieczona bez hasła, mimo że była skierowana do Internetu. Każdy, kto znał adres IP bazy danych, mógł uzyskać do niej dostęp za pomocą zwykłej przeglądarki internetowej. Początkowo nie było wiadomo, kto odpowiada za bazę danych, jednak właściciela ustalili dziennikarze TechCruncha. Winowajcą wycieku jest YX International, azjatycka firma, która świadczy między innymi usługi routingu wiadomości tekstowych SMS. YX International zabezpieczyła bazę danych po skontaktowaniu się z nią przez TechCrunch.
Przy dziennym przepływie aż 5 milionów wiadomości SMS, baza danych YX International była skarbnicą poufnych informacji. Informacje te obejmowały linki do resetowania haseł i kody 2FA dla firm takich jak Google, WhatsApp, Facebook i TikTok. Sen, który odnalzał tę bazę, powiedział dla Forbesa, że „natknął się na bazę danych podczas rutynowej kontroli, którą wykonuje”. Sen sprawdza bazy danych umieszczone chmurze przez ostatnie pięć lat. Jak mówi „Wiele firm przenosi swoje serwery produkcyjne do chmury, ale podstawowe uwierzytelnianie i szyfrowanie nie są stosowane”.
Czy użytkownicy Google, WhatsApp i TikTok mają powody do obaw?
Nie. Choć niezabezpieczona baza danych to duże uchybienie, to kody 2FA wygasają bardzo szybko, więc podmiot stanowiący zagrożenie musiałby monitorować zarówno bazę danych, jak i działania celu. Jest to bardzo mało prawdopodobne. Warto jednak pamiętać, zabezpieczając swoje dane, że teoretycznie atak przez tę lukę był możliwy.
Co jak nie 2FA przez SMS?
Jak pisałem już we wstępie, eksperci ds. bezpieczeństwa odradzają używanie wiadomości SMS jako kodów uwierzytelniania dwuskładnikowego ze względu na ich podatność na przechwycenie lub złamanie. Czego więc używać do 2FA zamiast smsów? Klucz U2F to jedyna metoda dwuetapowego uwierzytelnienia (2FA) chroniąca w 100% przed phishingiem. Pakiet dwóch kluczy (bo warto mieć schowane gdzieś drugie urządzenie, na wypadek zgubienia podstawowego) można kupić już za 400 złotych. To niewielka cena, jak za spokój ducha.
Ta sytuacja, choć potencjalnie niezbyt groźna dla użytkownika końcowego, pokazuje, że używanie wiadomości SMS jako kodów uwierzytelniania dwuskładnikowego nie jest do końca bezpieczne. Lepiej skorzystać z klucza U2F, który ma wszystko, co trzeba, aby w 100% ochronić Was przed atakami phishingowymi i zabezpieczyć proces logowania do serwisów internetowych, a także banków.