Một lỗi bảo mật cơ sở dữ liệu được tiết lộ như một lời nhắc nhở rằng những ngày xác thực dựa trên SMS đã đến lúc kết thúc.
Trong số cơ sở dữ liệu không được bảo vệ bởi mật khẩu, chứa tới 26 triệu tin nhắn văn bản, một số đã được liên kết xác minh hai bước và đặt lại mật khẩu, theo báo cáo của TechCrunch. Khi nó được phát hiện, cơ sở dữ liệu vẫn đang ghi lại các văn bản trong thời gian gần thực, cung cấp một nguồn tài nguyên khổng lồ cho những kẻ tấn công tiềm năng.
Cơ sở dữ liệu chạy trên Elasticsearch của Amazon và sử dụng Kibana - một công cụ trực quan hóa và truy vấn để có thể tìm kiếm thông qua khối lượng dữ liệu cho chuỗi văn bản và số điện thoại, theo báo cáo của TechCrunch.
Nhà nghiên cứu bảo mật, Sébastien Kaul của Berlin, đã phát hiện ra cơ sở dữ liệu sử dụng công cụ tìm kiếm Shodan, theo báo cáo của TechCrunch. Cơ sở dữ liệu này thuộc về Voxox, một công ty có trụ sở tại San Diego trước đây có tên Telecentris, chuyên về VOIP, SMS với số lượng lớn và các dịch vụ viễn thông dựa trên nhiều dịch vụ đám mây khác nhau.
Voxox cung cấp dịch vụ để giúp các tổ chức gửi SMS bằng SMPP - giao thức SMPP hoặc một API dịch vụ web. Voxox xử lý bất kỳ thông báo nào mà một tổ chức muốn gửi cùng và sau đó chuyển nó tới các mạng di động.
Điều đó làm cho công ty trở thành một phần quan trọng của chuỗi an ninh. Techcrunch báo cáo rằng một cuộc truy lùng qua các cơ sở dữ liệu cho thấy nó chứa mã độc và thông điệp được truyền bởi một loạt các công ty lớn, bao gồm Microsoft, Yahoo, Fidelity Investments, Badoo và nhiều hơn nữa.
Sau khi Techcrunch thông báo cho Voxox, cơ sở dữ liệu đã được đưa ra ngoại tuyến. Những nỗ lực của Tập đoàn truyền thông an ninh thông tin này để tiếp cận các quan chức Voxox đã không thành công ngay lập tức.
Điểm yếu của SMS
Nguy cơ gây ra bằng cách gửi bất cứ điều gì thông qua tin nhắn SMS đã quá phổ biến và đã được nhấn mạnh rất nhiều lần. Vào tháng 7 năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ đã thông báo rằng SMS sẽ không được dùng nữa.
SMS tiếp tục gây ra những rủi ro đáng kể cho các cá nhân bởi vì kẻ tấn công ngày càng khai thác được nhiều hơn thông qua những thông điệp này. Đồng thời chúng cũng sử dụng những các cuộc tấn công dữ dội hơn như một phương tiện để xâm phạm tài khoản.
Hoán đổi SIM hoặc tấn công vào thẻ sim - nơi kẻ tấn công giành quyền kiểm soát số điện thoại di động của ai đó - có thể được sử dụng để nắm bắt mã xác minh hai bước được gửi bằng SMS. Những cuộc tấn công như vậy có thể không có quyền kiểm soát mạnh mẽ đối với việc xác minh khách hàng khi có ai đó yêu cầu một SIM mới hoặc chuyển một số cổng kết nối.
Cũng có nhiều mối quan tâm về Hệ thống báo hiệu số 7, hoặc SS7, giao thức định tuyến các cuộc gọi điện thoại được phát triển lần đầu tiên vào những năm 1970. Giao thức này có trách nhiệm cho phép chuyển vùng di động trên toàn thế giới bằng cách kết nối với cơ sở dữ liệu Địa điểm từ Nhà đăng ký, chứa dữ liệu thuê bao và định tuyến.
Nhưng truy cập giả mạo đến SS7 có thể dẫn đến rất nhiều nguy cơ, bởi vì nó có thể theo dõi vị trí của thiết bị, chặn cuộc gọi hoặc làm dịch vụ gián đoạn. Năm ngoái, tin tặc đã truy cập vào SS7 và chuyển tiếp cuộc gọi và tin nhắn từ số điện thoại đến số riêng của chúng, cho phép chúng nắm bắt mã số một lần cho tài khoản ngân hàng ở Đức.
Thách thức 2FA Adoption
Các nhà cung cấp dịch vụ đang đa dạng hóa các tùy chọn cung cấp mã xác minh hai bước, hỗ trợ các trình tạo mã độc lập như Authenticator, Authy, Duo của Google và các công cụ khác. Các loại ứng dụng đó loại bỏ SMS ra khỏi phương trình an ninh bảo mật.
Nhưng vẫn còn một sự phụ thuộc nặng nề vào SMS. Đó là Google, LinkedIn, Instagram và các nhà cung cấp dịch vụ khác đôi khi vẫn sử dụng kênh di động và SMS để đặt lại mật khẩu, tùy thuộc vào cách tài khoản được định cấu hình.
Tuy nhiên, việc sử dụng xác minh hai bước qua SMS vẫn tốt hơn là không sử dụng lớp bảo vệ nào cả. Nhưng xét trên nhiều khía cạnh, việc thu hút người dùng chỉ để biến nó thành một cách tự nguyện là một kỳ tích, không thể thuyết phục được người dùng sử dụng một ứng dụng để tạo ra các mã. Vào tháng Giêng, một kỹ sư của Google cho biết chưa đến 10% người dùng Gmail đã bật xác minh hai bước, The Register đưa tin.
Với hàng tỷ tên người dùng và mật khẩu bị rò rỉ trôi nổi trong các danh sách khổng lồ từ các vi phạm dữ liệu, mật mã dựa trên thời gian qua SMS có thể đã cứu nhiều người dùng khỏi bị xâm nhập tài khoản. Nhưng có nhiều trường hợp rõ ràng và cụ thể phải được đưa ra để thúc đẩy người dùng sử dụng các ứng dụng tạo mã bảo mật.
Thông tin trong cơ sở dữ liệu của Voxox sẽ không hữu ích, ít nhất là trực tiếp cho việc chiếm đoạt tài khoản vì các mã và liên kết đã truyền sẽ hết hạn.
Nhưng điều đáng lo ngại hơn là không rõ cơ sở dữ liệu có thể được trực tuyến bao lâu và liệu có ai khác trước khi Kaul khám phá ra nó hay không. Phát hiện này cũng đặt ra các câu hỏi về các công ty và các bên liên quan đến chuỗi truyền tải SMS. Đó là một lời nhắc nhở một lần nữa rằng nếu bảo mật tài khoản là bắt buộc: Nếu có thể, hãy xác minh hai bước thông qua tin nhắn SMS.