Specialiștii avertizează că un număr imens de coduri de securitate pentru WhatsApp, Facebook și Google au fost dezvăluite pe Internet, punând în pericol datele și conturile utilizatorilor.
Experții în securitate recomandă utilizatorilor să evite autentificarea în doi pași prin SMS, necesară pentru accesarea platformelor precum WhatsApp și Facebook, deoarece acest sistem prezintă o vulnerabilitate ce poate fi ușor exploatată pentru a compromite conturile.
Recent, un expert în securitate a descoperit o bază de date neasigurată pe Internet. În cadrul acesteia, el a identificat milioane de astfel de coduri, ce ar putea fi accesate cu ușurință de oricine, potrivit Forbes.
Baza de date a fost găsită de cercetătorul Anurag Sen și nu era protejată cu o parolă. Orice persoană care ar fi avut acces la adresa IP a bazei de date ar fi putut să o acceseze folosind doar un browser web obișnuit.
În această bază de date, Sen a găsit milioane de coduri de securitate pentru WhatsApp, Facebook și Google, utilizate de utilizatori pentru a accesa conturile, prin sistemul de verificare în doi pași. Inițial, nu se cunoștea exact cine deținea această bază de date expusă.
Cu toate acestea, reporterii de la TechCrunch au descoperit că vinovatul era YX International, o companie din Asia care furnizează servicii de transmitere a mesajelor SMS, printre altele. Compania a asigurat securizarea bazei de date după ce TechCrunch a luat legătura cu ea.
Cu un flux zilnic de 5 milioane de mesaje SMS, baza de date era o comoară de date valoroase. Printre informațiile incluse se numărau linkuri pentru resetarea parolei și coduri 2FA (autentificare în doi pași) pentru companii precum Google, WhatsApp, Facebook și TikTok.
Sen mai arată că a găsit „baza de date în timpul unei verificări de rutină pe care o fac”. Acesta a mai menționat că în ultimii 5 ani a inspectat baze de date bazate pe cloud.
„Numeroase companii îți mută serverele de producție în cloud, dar autentificarea și criptarea de bază lipsesc”, a declarat Sen.
De asemenea, datele din baza descoperită erau din iulie 2023, iar fiindcă nu era protejată cu o parolă, putea fi accesată de oricine. Sursa de date expusă conținea milioane de coduri de securitate pentru WhatsApp, Facebook și Google. Specialistul mai spune că „metoda de stocare și procesare 2FA trebuie să fie mai sigură”.