據報導,外國一個含有數千萬條短信的數據庫發生洩漏事件,被洩漏的資料包括密碼重置連結、雙因素代碼及送貨通知等數據。
發生數據洩漏的是一家位於美國加州聖地亞哥,名叫Voxox(前身為Telecentris)的通訊公司。據說,該公司的伺務器沒有密碼保護,令到有人有機可乘,窺探所有的實時短信。
一個位於柏林的安全研究員Sébastien Kaul嘗試在一個專門用於搜尋設備和數據庫的搜索引擎上,輕易地就找到了Voxox這個被洩露的伺服器。Sébastien Kaul更發現到,Amazon的Elasticsearch上運行的數據庫配置了Kibana前端,使數據易於閱讀、瀏覽和搜索名稱、單元格編號和短信內容等。
大部份人收到公司短信時,都不會考慮背後的運作,無論是Amazon的速遞通知還是登錄的雙因素代碼。通常,應用程序開發人員(如HQ Trivia和Viber)會採用Telesign和Nexmo等公司提供的技術來驗證用戶的電話號碼或發送雙因素身份驗證代碼。但都有不少像Voxox這樣的公司,單純地自行將這些代碼轉換成文本信息,然後傳遞到手機網絡以傳遞給用戶的手機。
據報導,Voxox將數據庫暫時關閉。但在關閉時,數據庫收集了超過2600萬條短信。但是,通過平台每分鐘所處理消息來看,數字似乎比2600萬更多。每條記錄都經過精心標記和詳細記錄,當中包括了收件人的手機號碼、郵件、發送給Voxox客戶的郵件以及他們使用的短代碼。
其實現時有包括Facebook、Twitter和Instagram在內等多間公司都推出了應用程序上的雙因素身份驗證,以阻止SMS的驗證,這種驗證一直以來被視為易於攔截攻擊。
資料來源:Tech Crunch
這篇文章 美國通訊公司Voxox發生大型SMS及密碼數據庫洩漏事件 最早出現於 TechApple.com。