2018/11/16

Milhões de SMS expostos na net revelam passwords e códigos 2FA


Um "pequeno" lapso de uma empresa de comunicações norte-americana, deixou expostos ao mundo dezenas de milhões de SMS, alguns dos quais contendo informação particularmente sensível, como passwords e códigos de autenticação.

A Voxox - uma das muitas empresas que serve de gateway para o envio de SMS por diversos serviços - está perante um daqueles cenários de pesadelo, ao ter sido descoberto que a base de dados dos SMS processados pela empresa estavam expostos publicamente na internet. Estamos a falar de mais de 20 milhões de SMS, com muitos mais SMS a surgirem continuamente em tempo real; e para cúmulo, a base de dados estava configurada com um interface que facilitava ainda mais o acesso à informação por parte de qualquer pessoa, permitindo a pesquisa por nomes, números de telefone, conteúdos, etc.



O caso seria preocupante se contivesse apenas SMS antigas arquivadas, mas neste caso era ainda mais grave por dar acesso em tempo real aos SMS que passassem por este serviço, potencialmente permitindo que alguém interceptasse código de recuperação de contas e se apoderasse delas - e isto para não falar de serviços que mandavam a próprio password por SMS, como é o caso da app Badoo, ou até de um banco dos EUA que o tinha feito para um seu cliente.

Mas entre estes milhões de SMS, há muito mais dados para além desses de interesse prioritário; podendo descobrir-se SMS com informação sobre encomendas e código de tracking que permitem saber onde andam; informação sobre consultas médicas; etc.


Há anos que os especialistas alertam para a necessidade de se abandonar os SMS como canal de autenticação devido aos riscos associados; mas este caso da Voxox acaba por ser a "tempestade perfeita" que demonstra como isso pode correr mal, no pior cenário possível que vai para além daquilo que se poderia acreditar ser possível. Pior que isto, só mesmo se se descobrisse que a Google está a guardar os emails do Gmail num servidor publicamente acessível que dê acesso a todos os email de todos os utilizadores.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]