Dünya çapında milyonlarca SMS yönlendiren bir teknoloji şirketi, tek seferlik güvenlik kodlarını sızdıran bir veritabanını ele geçirerek kullanıcıların Google, Facebook ve TikTok hesaplarının erişimine izin vermiş olabilir.
Hücresel ağ ekipmanı üreten ve SMS yönlendirme hizmeti sağlayan Asyalı şirket YX International, 2FA kodlarını sızdırdı.
Bunun sebebi, şirketin, dahili veritabanlarından birini şifresiz olarak internete açık bırakması ve herkesin yalnızca tek bir web tarayıcısı kullanarak genel IP adresi bilgisine sahip olması. Bu olaylar kullanıcıların hassas verilere erişmesine izin verilmesiyle sonuçlandı.
Kullanıcıların Hassas Verileri İfşa Oldu
Güvenlik araştırmacısı Anurag Sen, veritabanını buldu. Fakat veritabanının kime ait olduğunu veya kime bildirmesi gerektiğini bilmediğini söyledi. Bu sorunu çözmek adına Anurag Sen, veritabanının ayrıntılarını TechCrunch ile paylaştı.
SMS üzerinden gönderilen kodlar, 2FA'nın daha güçlü biçimleri kadar güvenli değildir. TechCrunch, açığa çıkan veritabanında YX International ile ilişkili dahili e-posta adresleri ve bunlara karşılık gelen şifreleri buldu ve şirketi sızıntı veritabanına karşı uyardı.
Veritabanı kısa bir süre sonra çevrimdışı oldu. TechCrunch tarafından sorulduğunda YX International temsilcisi, sunucunun erişim günlüklerini saklamadığını, bunun Sen'den başka birinin açığa çıkan veritabanını ve içeriğini keşfedip keşfetmediğini belirleyeceğini söyledi.
YX International, veritabanının ne kadar süreyle açık kaldığını söylemedi. Google ve TikTok sözcüleri ise hiçbir yoruma cevap vermedi.
YORUMLAR