• tv3.lt antras skaitomiausias lietuvos naujienu portalas

REKLAMA
Komentuoti
Nuoroda nukopijuota
DALINTIS

Saugumo ekspertai pataria nenaudoti SMS žinučių kaip dviejų žingsnių autentifikavimo kodų, nes jas galima perimti arba suklastoti. Neseniai saugumo tyrėjas internete aptiko neapsaugotą duomenų bazę, kurioje buvo milijonai tokių kodų ir kurią lengvai galėjo pasiekti bet kas, skelbia portalas „Forbes“.

Saugumo ekspertai pataria nenaudoti SMS žinučių kaip dviejų žingsnių autentifikavimo kodų, nes jas galima perimti arba suklastoti. Neseniai saugumo tyrėjas internete aptiko neapsaugotą duomenų bazę, kurioje buvo milijonai tokių kodų ir kurią lengvai galėjo pasiekti bet kas, skelbia portalas „Forbes“.

REKLAMA

Vidaus duomenų bazė, kurią aptiko saugumo tyrėjas Anuragas Senas, buvo palikta neapsaugota be slaptažodžio, nors buvo pasiekiama internetu. Bet kas, žinantis duomenų bazės IP adresą, galėtų ją pasiekti naudodamasis tik įprasta interneto naršykle.

Jautri SMS žinučių duomenų bazė liko neapsaugota internete

Nors iš karto nebuvo aišku, kam priklauso neapsaugota duomenų bazė, susisiekus su „TechCrunch“ žurnalistais paaiškėjo, kad kaltoji šalis yra Azijos bendrovė „YX International“, kuri, be kitų paslaugų, teikia ir SMS žinučių nukreipimo paslaugas. Po to, kai „TechCrunch“ susisiekė su bendrove, „YX International“ apsaugojo duomenų bazę.

Per dieną į „YX International“ duomenų bazę patenka iki 5 mln. SMS žinučių, todėl „YX International“ duomenų bazė buvo slaptos informacijos lobynas. Informacija, įskaitant slaptažodžių atstatymo nuorodas ir 2FA (dviejų žingsnių autentifikavimo) kodus, skirta tokioms bendrovėms kaip „Google“, „WhatsApp“, „Facebook“ ir „TikTok“.

REKLAMA
REKLAMA

Duomenų bazę radęs tyrėjas Anuragas Senas sakė, kad „su duomenų baze susidūrė per įprastą savo atliekamą patikrinimą“.

A. Senas sako, kad jie tai daro tikrindami duomenų bazes jau penkerius metus.

„Daugybė įmonių perkelia savo gamybinius serverius į debesį, tačiau pagrindinis autentiškumo patvirtinimas ir šifravimas nėra įdiegtas, – sako A. Senas. – Atskleista duomenų bazė rodo, kad 2FA saugojimo ir apdorojimo metodas turėtų būti patikimesnis ir saugesnis“.

REKLAMA

Ar „Google“, „WhatsApp“ ir „TikTok“ naudotojai turi pagrindo nerimauti?

Tai, kad šioje duomenų bazėje nėra slaptažodžio, apsaugančio ją nuo 2023 m. liepos mėnesio, yra šokiruojantis faktas, tačiau ar tai kelia pavojų saugumui?

Žvelgiant iš 2FA kodų perspektyvos, galima pasakyti, kad nelabai. Juk tokie kodai labai greitai nustoja galioti, o grėsmės sukėlėjas turėtų stebėti ir duomenų bazės papildymus, ir taikinio veiksmus. Tai iš tiesų labai mažai tikėtina.

REKLAMA
REKLAMA

Ar tai reiškia, kad neturėtumėte naudoti SMS žinučių 2FA saugumo kodams?

Jake Moore'as, pasaulinis ESET kibernetinio saugumo patarėjas, sakė, kad „vienkartiniai slaptažodžiai – patvirtinimo kodai SMS žinute yra daug saugesnis variantas nei pasikliauti vien tik slaptažodžiu, tačiau kai grėsmės dabar pačios yra daugiasluoksnės, paskyroms reikia pačios stipriausios daugiasluoksnės apsaugos, kad jos išliktų saugios“.

REKLAMA
REKLAMA
REKLAMA

Slaptažodžiai, autentifikavimo programėlės ir fiziniai saugumo raktai – visa tai suteikia dar saugesnę apsaugą.

„Taigi, kai nustatyti saugumą dabar lengviau nei bet kada anksčiau, visi, kurie liko pasikliaujantys vien slaptažodžiais arba naudojantys SMS 2FA kodus, gali norėti persvarstyti savo pirminį pasirinkimą“, – tęsia J. Moore'as.

Verta pasimokyti

Nors naudotojams nereikia pernelyg nerimauti, kad 2FA kodai buvo įtraukti į minėtą neteisingai sukonfigūruotą ir neapsaugotą duomenų bazę, tai nereiškia, kad iš to nereikia pasimokyti.

REKLAMA

Iš tiesų, tai tik dar labiau sustiprina argumentą, kodėl nereikėtų naudoti SMS, jei yra kitų galimybių. Visgi, paaiškėjo, kaip tokie tekstinių žinučių kodai gali būti pažeisti.

„SMS žinutėse naudojamos pasenusios technologijos, todėl gera praktika yra sekti naujausias siūlomas paskyros apsaugos priemones, – daro išvadą J. Moore'as. – Tačiau, kai patogumas ir saugumas visiškai vienodai dera tarpusavyje, tikrai nėra jokio pagrindo rinktis kitą, ne SMS, variantą“.

Protingi žmonės šiuo šūdu nesinaudoja, taip kaip nesinaudoja ir Android bei iOS naudojančiais telefonais.
Rimtai! Kas nors nustebę?
kitą kart, kai versit su chatgpt patikrinkit ne tik gramatiką, bet ir sakinio logiką/struktūrą.
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKOMENDUOJAME
rekomenduojame
TOLIAU SKAITYKITE
× Pranešti klaidą
SIŲSTI
Į viršų