Base de datos de Voxox con 26 millones de SMS expuestos

Voxox, un proveedor de VOIP y comunicación en la nube de servicios de voz y SMS al por mayor, expuso una base de datos masiva de decenas de millones de mensajes de texto que contienen una amplia gama de información altamente confidencial, como contraseñas de texto plano, códigos 2FA, códigos de restablecimiento de contraseñas, números de teléfono y Códigos de verificación.

La base de datos expuesta al acceso público se almacenó en un servidor no protegido encontrado por el investigador de seguridad Sébastien Kaul con la ayuda del motor de búsqueda de dispositivos conectados a Internet Shodan.

Además, como lo informó por primera vez Zack Whittaker de TechCrunch , la base de datos de mensajes de texto encontrada por Kaul en la Internet abierta proporcionó a cualquiera que accedió a ella con una vista casi en tiempo real de toda la información que pasaba a través de la pasarela SMS de Voxox.

Como lo descubrió Kaul, el servidor estaba ejecutando un servicio administrado de Amazon Elasticsearch utilizado para implementar un motor de análisis y búsqueda de datos distribuidos, con el complemento de visualización de datos de fuente abierta Kibana habilitado para un análisis rápido y directo de la base de datos.

Esto significaba que cualquier persona que hubiera tropezado con la base de datos expuesta con el conocimiento suficiente para utilizar Elasticsearch podría haberlo utilizado como un motor de búsqueda para encontrar cualquier cosa, desde nombres y números de teléfono hasta detalles de envío y contraseñas en texto simple.

¿Autenticación de dos factores basada en SMS? ¡No, gracias!

"En el momento de su cierre, la base de datos parecía tener un poco más de 26 millones de mensajes de texto hasta la fecha", según lo informado por Whitaker. "Pero el gran volumen de mensajes procesados ​​a través de la plataforma por minuto, como se ve en el front-end visual de la base de datos, sugiere que esta cifra puede ser mayor".

El problema más importante que la violación de datos de Voxox pone de relieve es la facilidad con la que una operación dirigida podría haber comprometido este tesoro virtual de información muy sensible y abusar de él sin que nadie lo supiera, secuestrando completamente los sistemas 2FA con un solo movimiento.

Esto ya podría haber ocurrido antes de que Kaul encontrara la base de datos y Voxox desconectó la base de datos expuesta, especialmente al ver que no hay información disponible sobre el intervalo de tiempo en que el servidor estuvo públicamente accesible.

Es mucho mejor utilizar una aplicación de autenticación de dos factores, como Authy, Google Authenticator o LastPass Authenticator, ya que no utilizan ninguna puerta de enlace que pueda verse comprometida en un momento dado.

Semrush sigue a tu competencia

Fecha actualización el 2018-11-17. Fecha publicación el 2018-11-17. Categoría: ps5 Autor: Oscar olg Mapa del sitio Fuente: softpedia
Base de datos