Per šokiruojantį incidentą milijonų „Google”, „Facebook”, „TikTok” ir „WhatsApp” naudotojų paskyrų saugumas buvo pažeistas nutekėjus neapsaugotai duomenų bazei, kurioje buvo privatūs dviejų veiksnių autentifikavimo 2FA saugumo kodai.
Incidentas laikomas tokio pat sunkumo kaip ir visiškas duomenų saugumo pažeidimas.
Klaida priskiriama Azijoje įsikūrusiai technologijų bendrovei „YX International”, atsakingai už SMS žinučių paskirstymą ir mobiliojo ryšio tinklų įrangos gamybą.
Bendrovė teigia kasdien apdorojanti iki penkių milijonų SMS žinučių. Įmonė visus duomenis paliko viešai prieinamus, nenurodžiusi net apsaugos slaptažodžio.
Kibernetinio saugumo tyrėjas duomenų bazę aptiko naudodamasis tik duomenų bazės IP adresu, naudodamasis standartine interneto naršykle.
Netrukus po to, kai buvo kreiptasi į „YX International” dėl šios problemos, „YX International” apsaugojo duomenų bazę. Ar duomenų bazėje esančia informacija jau buvo pasinaudota, kol kas neaišku.
Šioje duomenų bazėje buvo tokie duomenys kaip 2FA kodai ir slaptažodžio atstatymo nuorodos. Incidentas pabrėžia geriausios dviejų veiksnių autentiškumo patvirtinimo užtikrinimo ir apdorojimo praktikos svarbą.
Šis įvykis taip pat skatina diegti naujesnes saugumo priemones, pavyzdžiui, autentifikavimo programėles, slaptažodžius ir raktus. Grėsmė yra didelė, nes vis daugiau įmonių stengiasi perkelti savo serverius į debesiją be tinkamų šifravimo ir autentifikavimo priemonių.
Ar turėtumėte naudoti SMS žinutes 2FA saugumo kodams?
Jake'as Moore'as, pasaulinis ESET kibernetinio saugumo patarėjas, sakė, kad „vienkartiniai slaptažodžiai SMS žinute yra daug saugesnis variantas nei pasikliauti vien tik slaptažodžiu, tačiau kai grėsmės dabar pačios yra daugiasluoksnės, paskyroms, norint išlikti saugioms, pačioms reikia stipriausios daugiasluoksnės apsaugos”.
Slaptažodžiai, autentifikavimo programėlės ir fiziniai saugumo raktai – visa tai suteikia dar saugesnę apsaugą. „Taigi, kai nustatyti saugumą dabar lengviau nei bet kada anksčiau, – tęsia Moore'as, – visi, kurie liko pasikliaudami vien slaptažodžiais arba naudodami SMS 2FA kodus, gali norėti persvarstyti savo pirminį pasirinkimą.”
Nors naudotojams nereikia pernelyg nerimauti, kad 2FA kodai buvo įtraukti į minėtą neteisingai sukonfigūruotą ir neapsaugotą duomenų bazę, tai nereiškia, kad iš to nereikia pasimokyti.