Vidaus duomenų bazė, kurią aptiko saugumo tyrėjas Anuragas Senas, buvo palikta neapsaugota be slaptažodžio, nors buvo pasiekiama internetu. Bet kas, žinantis duomenų bazės IP adresą, galėtų ją pasiekti naudodamasis tik įprasta interneto naršykle.
Jautri SMS žinučių duomenų bazė liko neapsaugota internete
Nors iš karto nebuvo aišku, kam priklauso neapsaugota duomenų bazė, susisiekus su „TechCrunch“ žurnalistais paaiškėjo, kad kaltoji šalis yra Azijos bendrovė „YX International“, kuri, be kitų paslaugų, teikia ir SMS žinučių nukreipimo paslaugas. Po to, kai „TechCrunch“ susisiekė su bendrove, „YX International“ apsaugojo duomenų bazę.
Per dieną į „YX International“ duomenų bazę patenka iki 5 mln. SMS žinučių, todėl „YX International“ duomenų bazė buvo slaptos informacijos lobynas. Informacija, įskaitant slaptažodžių atstatymo nuorodas ir 2FA (dviejų žingsnių autentifikavimo) kodus, skirta tokioms bendrovėms kaip „Google“, „WhatsApp“, „Facebook“ ir „TikTok“.
Duomenų bazę radęs tyrėjas Anuragas Senas sakė, kad „su duomenų baze susidūrė per įprastą savo atliekamą patikrinimą“.
A. Senas sako, kad jie tai daro tikrindami duomenų bazes jau penkerius metus.
„Daugybė įmonių perkelia savo gamybinius serverius į debesį, tačiau pagrindinis autentiškumo patvirtinimas ir šifravimas nėra įdiegtas, – sako A. Senas. – Atskleista duomenų bazė rodo, kad 2FA saugojimo ir apdorojimo metodas turėtų būti patikimesnis ir saugesnis“.
Ar „Google“, „WhatsApp“ ir „TikTok“ naudotojai turi pagrindo nerimauti?
Tai, kad šioje duomenų bazėje nėra slaptažodžio, apsaugančio ją nuo 2023 m. liepos mėnesio, yra šokiruojantis faktas, tačiau ar tai kelia pavojų saugumui?
Žvelgiant iš 2FA kodų perspektyvos, galima pasakyti, kad nelabai. Juk tokie kodai labai greitai nustoja galioti, o grėsmės sukėlėjas turėtų stebėti ir duomenų bazės papildymus, ir taikinio veiksmus. Tai iš tiesų labai mažai tikėtina.
Ar tai reiškia, kad neturėtumėte naudoti SMS žinučių 2FA saugumo kodams?
Jake Moore'as, pasaulinis ESET kibernetinio saugumo patarėjas, sakė, kad „vienkartiniai slaptažodžiai – patvirtinimo kodai SMS žinute yra daug saugesnis variantas nei pasikliauti vien tik slaptažodžiu, tačiau kai grėsmės dabar pačios yra daugiasluoksnės, paskyroms reikia pačios stipriausios daugiasluoksnės apsaugos, kad jos išliktų saugios“.
Slaptažodžiai, autentifikavimo programėlės ir fiziniai saugumo raktai – visa tai suteikia dar saugesnę apsaugą.
„Taigi, kai nustatyti saugumą dabar lengviau nei bet kada anksčiau, visi, kurie liko pasikliaujantys vien slaptažodžiais arba naudojantys SMS 2FA kodus, gali norėti persvarstyti savo pirminį pasirinkimą“, – tęsia J. Moore'as.
Verta pasimokyti
Nors naudotojams nereikia pernelyg nerimauti, kad 2FA kodai buvo įtraukti į minėtą neteisingai sukonfigūruotą ir neapsaugotą duomenų bazę, tai nereiškia, kad iš to nereikia pasimokyti.
Iš tiesų, tai tik dar labiau sustiprina argumentą, kodėl nereikėtų naudoti SMS, jei yra kitų galimybių. Visgi, paaiškėjo, kaip tokie tekstinių žinučių kodai gali būti pažeisti.
„SMS žinutėse naudojamos pasenusios technologijos, todėl gera praktika yra sekti naujausias siūlomas paskyros apsaugos priemones, – daro išvadą J. Moore'as. – Tačiau, kai patogumas ir saugumas visiškai vienodai dera tarpusavyje, tikrai nėra jokio pagrindo rinktis kitą, ne SMS, variantą“.
