Google, TikTok и не только: утечка раскрыла код 2FA защиты

Компания YX International, отвечающая за маршрутизацию миллионов SMS-сообщений в день, оставила свою внутреннюю базу данных открытой в Интернете. Это означало, что любой, кто знал IP-адрес базы данных, мог получить доступ к конфиденциальной информации, включая одноразовые коды входа для таких крупных платформ, как Google и TikTok.

Брешь была обнаружена исследователем безопасности Анурагом Сеном. В базе данных хранились сообщения за несколько месяцев, что вызывает опасения по поводу количества пользователей, которые могли пострадать.

2FA добавляет дополнительный уровень безопасности, требуя отправки кода на мобильный телефон пользователя, но использование только SMS в качестве способа доставки имеет свои ограничения: SMS можно перехватить, а в данном случае сам код находился только в незащищенной базе данных Он существовал только в незащищенной базе данных.

Компания быстро устранила уязвимость, но неизвестно, как долго база данных была доступна и имел ли кто-то доступ к конфиденциальной информации.

Ранее стало известно о том, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.