Hopp til navigasjon Hopp til innhold
Det er avdekket et tilfelle hvor angripere har hatt mulighet til å se slike automatisk genererte meldinger i sanntid. (Ill.: ITavisen)

Millioner av meldinger med sensitiv informasjon utsatt etter lekkasje

Fritt fram med autentiseringsnøkler og passordendringer.

TechCrunch skriver at millioner av tekstmeldinger nylig lå åpent og tilgjengelig på nettet der alle kunne se dem, og at disse i stor grad inneholdt sensitive opplysninger som passord, engangspassord og lenker til å skifte passord. Nyheten kommer i kjølvannet av at flere sikkerhetseksperter bønnfaller leverandører om å slutte å bruke SMS for overveksling av informasjon i ledd av to-faktor-autentisering.

SMS på vegne av selskaper

Databasen som har vært sårbar på denne måten tilhører det amerikanske selskapet VoxOx som skryter på seg at de håndterer milliarder av samtaler og tekstmeldinger på månedsbasis.

Den tyske sikkerhetsforskeren Sébastien Kaul har ifølge TechCrunch benyttet seg av søkemotoren Shodan til å finne fram til meldingene som inneholdt passordinformasjon. Databasen hadde lagrede tekstmeldinger som ble sendt av VoxOx på vegne av selskaper som ønsker å ha en automatisert meldingstjeneste for passordendringer og annen brukerhåndtering.

Meldinger i sanntid

En særlig stor sårbarhet lå i at databasen stilte tilgjengelig en portal som viste autentiseringsnøkler i to-faktor-prosessen og passordendringslenker i tilnærmet sanntid, slik at at var potensiale for at uvedkommende kunne utnytte dette til å ta over kontoer som ikke tilhører dem.

TechCrunch kom fram til at mer enn 26 millioner meldinger har blitt sendt siden begynnelsen av året, og at meldingene typisk har inneholdt alt fra passord i sin helhet, autentiseringsnøkler for Google-kontoer, Viber, Yahoo samt bekreftelser og påminnelser fra sykehus angående legetimer og faktureringsdetaljer.

VoxOx stengte databasen etter at TechCrunch i det stille meldte om sårbarheten til dem, og selskapet har ikke ønsket å ytre seg etter dette.

Kilde:
TechCrunch

Stikkord: 2fa, lekkasje, passord, sikkerhet