Az amerikai Voxox nevű cég szerverein tárolt SMS-eket szinte semmilyen titkosítás nem védte, így akár valós időben is el lehetett lopni a kétfaktoros azonosításhoz kiküldött kódokat.
Újabb adatszivárgási botrány van kibontakozóban, ezúttal azonban nem a Facebookról van szó – számolt be róla a TechCrunch. A San Diegó-i székhelyű Voxox céghez tartozó szerverekről mintegy 26 millió SMS szivároghatott ki, amelyek között a kétfaktoros azonosításhoz tartozó kódok, a jelszavak visszaállításához tartozó hivatkozások és kiszállítási adatok is voltak.
A sérülékenységet a berlini Sébastien Kaul biztonsági kutató vette észre. A szakember szerint a Voxox adatbázisát nemcsak, hogy nem titkosították, de az illetéktelenek könnyen kereshettek benne nevek és telefonszámok alapján is. Mivel a szerver még az adatszivárgás után is aktív volt, így a hackerek a kétfaktoros azonosítást is könnyen megkerülhették azzal, hogy megpróbáltak belépni egy adott fiókba, majd valós időben figyelték a kétfaktoros azonosításhoz szükséges kód kiküldését, és azt azonnal fel is tudták használni.
A Voxox csak a TechCrunch megkeresése után lőtte le a szervert. Az ügyben többek között a Microsoft, a Google és az Amazon felhasználói is érintettek.
A kétfaktoros azonosítás lényege, hogy a belépéshez nem elég begépelni a felhasználó név + jelszó párost, a rendszer egy korábban megadott telefonszámra SMS-ben küld egy azonosító kódot is, amit külön be kell pötyögni az oldalon. Az oldalak ezzel próbálják meg elérni, hogy a felhasználó fiókjába ne lehessen csak úgy betörni.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.