一家在全球范围内发送数百万条短信的技术公司保护了一个被曝光的数据库,该数据库泄露了一次性安全代码,而这些代码可能允许用户访问他们的 Facebook、Google 和 TikTok 账户。亚洲技术和互联网公司 YX International 生产蜂窝网络设备,并提供 SMS 短信路由服务。
短信路由服务有助于将时间紧迫的短信通过不同地区的蜂窝网络和供应商发送到正确的目的地,例如用户接收短信安全代码或登录在线服务的链接。
YX International 声称每天发送500 万条短信。但是,这家技术公司将其一个内部数据库暴露在互联网上,没有设置密码,任何人只需知道数据库的公共 IP 地址,就可以使用网络浏览器访问其中的敏感数据。
阿努拉格-森(Anurag Sen)是一位白帽黑客黑客,也是发现敏感但无意中泄露到互联网上的数据集的专家,他发现了这个数据库。森说,目前还不清楚该数据库属于谁,也不知道该向谁报告泄漏事件,因此森分享了被曝光数据库的详细信息,以帮助确定其所有者并报告安全漏洞。
被曝光的数据库包括发送给用户的短信内容,其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。
该数据库的月度日志可追溯到 2023 年 7 月,并且每分钟都在增长。
双因素身份验证(2FA)通过向受信任的设备(如某人的手机)发送附加代码,提供更强的保护,防止依赖密码窃取的在线账户劫持。但是,通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全,因为短信很容易被拦截或曝光,在这种情况下,密码就会从数据库泄露到开放网络上。
TechCrunch 在曝光的数据库中发现了与 YX International 相关的几组内部电子邮件地址和相应的密码,并向该公司发出了数据库泄漏的警报。数据库很快就下线了。YX International 的一位没有提供姓名的代表很快做出回应,称公司"封堵了这个漏洞"。
YX International 的代表说,服务器没有存储访问日志,因此无法确定除 Sen 之外是否有其他人发现了被暴露的数据库及其内容,并且也未说明数据库暴露了多长时间。