据外媒报道,一位白帽黑客Anurag Sen发现一家亚洲技术和互联网公司 YX International的内部数据库暴露在互联网上,没有密码,该数据库正在泄露一次性安全代码,这些代码可能已授予用户访问其 Facebook、Google 和 TikTok 帐户的权限。
据称YX International 生产蜂窝网络设备,并提供 SMS 短信路由服务。短信路由服务有助于将即时短信通过蜂窝网络和供应商发送到正确的目的地,例如用户接收短信安全验证码或登录在线服务的链接。
YX International 声称每天发送500 万条短信。但是,这家技术公司将其一个内部数据库暴露在互联网上,没有设置密码,任何人只需知道数据库的公共 IP 地址,就可以使用网络浏览器访问其中的敏感数据。
Sen 表示,被曝光的数据库包括发送给用户的短信内容,其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。
该数据库的月度日志可追溯到 2023 年 7 月,并且每分钟都在增长。
双因素身份验证(2FA)通过向受信任的设备(如某人的手机)发送附加代码,提供更强的保护,防止依赖密码窃取的在线账户劫持。但是,通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全,因为短信很容易被拦截或曝光,在这种情况下,密码就会从数据库泄露到开放网络上。
TechCrunch 在曝光的数据库中发现了与 YX International 相关的几组内部电子邮件地址和相应的密码,并向该公司发出了数据库泄漏的警报。数据库很快就下线了。YX International 的一位没有提供姓名的代表很快做出回应,称公司"封堵了这个漏洞"。
YX International 的代表说,服务器没有存储访问日志,因此无法确定除 Sen 之外是否有其他人发现了被暴露的数据库及其内容,并且也未说明数据库暴露了多长时间。
最前沿的电子设计资讯
