Οι ειδικοί σε θέματα ασφάλειας συμβουλεύουν να μην χρησιμοποιούνται μηνύματα SMS για κωδικούς ελέγχου ταυτότητας δύο παραγόντων λόγω της ευπάθειάς τους σε υποκλοπή ή παραβίαση.
Πρόσφατα, ένας ερευνητής ασφαλείας ανακάλυψε μια μη ασφαλή βάση δεδομένων στο διαδίκτυο που περιείχε εκατομμύρια τέτοιους κωδικούς, στους οποίους θα μπορούσε να έχει εύκολη πρόσβαση ο καθένας.
Η βάση δεδομένων έμεινε απροστάτευτη στο διαδίκτυο
Η εσωτερική βάση δεδομένων, την οποία ανακάλυψε ο ερευνητής ασφαλείας Anurag Sen, είχε μείνει απροστάτευτη χωρίς κωδικό πρόσβασης, παρά το γεγονός ότι ήταν συνδεδεμένη με το διαδίκτυο. Οποιοσδήποτε γνώριζε τη διεύθυνση IP της βάσης δεδομένων θα μπορούσε να έχει πρόσβαση σε αυτήν χρησιμοποιώντας ένα τυπικό πρόγραμμα περιήγησης στο διαδίκτυο.
Με καθημερινή ροή 5 εκατομμυρίων μηνυμάτων SMS, η βάση δεδομένων της YX International ήταν ένας θησαυρός ευαίσθητων πληροφοριών. Πληροφορίες που περιλάμβαναν συνδέσμους επαναφοράς κωδικών πρόσβασης και κωδικούς 2FA για εταιρείες όπως η Google, το WhatsApp, το Facebook και το TikTok.
«Έπεσα πάνω στη βάση δεδομένων κατά τη διάρκεια ενός ελέγχου ρουτίνας» ανέφερε μιλώντας στο Forbes, o Anurag Sen, o οποίος ανέφερε ότι το κάνουν αυτό για να ελέγχουν τις βάσεις δεδομένων που βασίζονται στο cloud τα τελευταία πέντε χρόνια.
«Πολλές εταιρείες μεταφέρουν τους διακομιστές παραγωγής τους στο cloud, αλλά ο βασικός έλεγχος ταυτότητας και η κρυπτογράφηση δεν τοποθετούνται εκεί. Η εκτεθειμένη βάση δεδομένων δείχνει ότι η μέθοδος αποθήκευσης και επεξεργασίας του 2FA θα πρέπει να είναι πιο ισχυρή και ασφαλής» τόνισε.
Πρέπει να ανησυχούν οι χρήστες των Google, WhatsApp, Facebook και TikTok
Με αρχεία καταγραφής που χρονολογούνται μέχρι τον Ιούλιο του 2023, η έλλειψη κωδικού πρόσβασης για την προστασία αυτής της βάσης δεδομένων είναι σοκαριστική. Αποτελεί όμως κίνδυνο για την ασφάλεια;
Σύμφωνα με το Forbes, από τη σκοπιά των κωδικών 2FA δεν υπάρχει κίνδυνος. Οι κωδικοί αυτοί λήγουν πολύ γρήγορα και ένας εγκληματίας του κυβερνοχώρου θα πρέπει να παρακολουθεί τόσο τις προσθήκες στη βάση δεδομένων όσο και τις ενέργειες ενός στόχου. Στην πραγματικότητα, αυτό είναι πολύ απίθανο.
Πρέπει να σταματήσετε να χρησιμοποιείτε SMS για τους κωδικούς ασφαλείας 2FA;
Ο παγκόσμιος σύμβουλος κυβερνοασφάλειας της ESET, Jake Moore, τόνισε ότι «οι κωδικοί πρόσβασης μιας χρήσης μέσω SMS είναι πολύ πιο ασφαλής επιλογή από το να βασίζεσαι μόνο σε έναν κωδικό πρόσβασης, αλλά όταν οι απειλές είναι πλέον οι ίδιες πολυεπίπεδες, οι λογαριασμοί χρειάζονται οι ίδιοι την ισχυρότερη πολυεπίπεδη προστασία για να παραμείνουν ασφαλείς».
Τα passkeys, οι εφαρμογές αυθεντικοποίησης και τα φυσικά κλειδιά ασφαλείας προσφέρουν ακόμη πιο ασφαλή προστασία. «Έτσι, όταν η ρύθμιση της ασφάλειας είναι πλέον πιο εύκολη από ποτέ, όποιος έχει απομείνει να βασίζεται μόνο σε κωδικούς πρόσβασης ή να χρησιμοποιεί κωδικούς SMS 2FA, ίσως να θέλει να επανεξετάσει την αρχική του επιλογή» συμπλήρωσε ο Moore.
«Τα μηνύματα κειμένου χρησιμοποιούν ξεπερασμένη τεχνολογία και είναι καλή πρακτική να ενημερώνεστε για την πιο πρόσφατη προστασία λογαριασμού που προσφέρεται. Αλλά όταν η ευκολία και η ασφάλεια ταιριάζουν απόλυτα σε ίσα μέτρα, δεν υπάρχει πραγματικά λόγος να επιλέγετε κάποια άλλη επιλογή εκτός από τα SMS» κατέληξε.
