一家短信路由公司将其内部数据库之一暴露,并将所谓的私人 2FA(双因素身份验证)代码泄露给公众,导致数百万 Facebook、Google、WhatsApp 和 TikTok 用户的帐户安全受到威胁。
这个巨大的错误实际上与完整的错误相同数据泄露YX International 是一家总部位于亚洲的科技公司,声称每天处理多达 500 万条短信。
该公司还生产蜂窝网络设备,但在这种情况下,其专长似乎在于让敏感数据在网上清晰可见,而无需使用密码来保护被发现的一次性密码和密码重置链接。
研究人员揭露了泄露的公司数据库
YX International 可能不是一个你熟悉的名字,至少到目前为止是这样。 然而,它似乎已被一些最大的技术公司承包,以处理具有 2FA 代码和密码恢复详细信息的高度敏感的 SMS 消息。
安全研究员阿努拉格·森发现该漏洞使得 YX 数据库可以在线查看,只需知道其公共 IP 地址即可。
🔎 想要私密地浏览网页吗? 🌎 或者看起来好像您在另一个国家?
享受 Surfshark 86% 的巨额折扣tech.co 的特别优惠。
这意味着 TikTok、Facebook、WhatsApp 和 Google 等一些大型平台的用户的一次性密码甚至密码重置链接可能会被不良行为者破坏。
目前尚不清楚这种情况是否发生,因为托管详细信息的服务器没有存储访问日志,如果除森以外的任何人访问它,这些日志都会显示出来。
YX国际已“密封”漏洞
此外,该数据库还包含一些 YX International 员工的电子邮件和密码组合,这对于有罪的公司来说也相当于泄露。
一位神秘的 YX 发言人此后告诉 TechCrunch,谁首先报道关于泄密事件,该公司现已“密封此漏洞”,而没有进一步扩大该事件。
好消息(如果有的话)是,双因素身份验证密码通常在发布后几分钟(甚至几秒)内就会过期。 这意味着不良行为者必须实时潜伏在泄露的数据库中,才有机会利用 SMS 公司令人震惊的安全监督。
又一天,又一个安全失误
如果这种史诗般的失败在网络安全领域不是司空见惯的话,YX International 大规模失误的消息可能会造成更严重的打击。
不幸的是,他们是。 在我们最近发布的技术对工作场所的影响报告例如,我们强调十分之一的企业领导人承认不知道他们的公司在去年是否遭到黑客攻击。
它是网络安全统计这些都强调了拥有合适的工具的重要性,即良好的工具便宜的VPN,因为在使用时,即使其他地方存在漏洞,这些应用程序也可以帮助网络骗子辨别您的私人数据。
我们很高兴你喜欢! 像这样将更多内容发送到您的收件箱。
很抱歉今天这篇文章对您没有帮助 - 我们欢迎反馈,因此如果您认为我们可以改进我们的内容,请发送电子邮件至 [email protected]
