Datenleck legt 2FA-Codes globaler Tech-Giganten wie Google offen wird von BTW Media profiliert, da veröffentlichte Belege es mit Internetinfrastruktur, Governance, operativen Abhängigkeiten oder Marktsichtbarkeit in Verbindung bringen.
Datenleck legt 2FA-Codes globaler Tech-Giganten wie Google offen wird als Internetinfrastruktur-Institution im Internetinfrastruktur-Ökosystem verfolgt.
Signale aus öffentlichen Quellen unterstützen ein Monitoring mit mittlerer Auswirkung für Sichtbarkeit der Infrastruktur und Abhängigkeitsanalyse.
Mehrere öffentliche Quellen
- SMS-Routing leitet dringende Textnachrichten an ihr entsprechendes Ziel über die verschiedenen regionalen Mobilfunknetze und Anbieter weiter, zum Beispiel wenn ein Benutzer einen SMS-Sicherheitscode oder einen Link zur Anmeldung bei Online-Diensten erhält.
- Per SMS gesendete Codes sind nicht so sicher wie robustere Formen der Zwei-Faktor-Authentifizierung (2FA), wie etwa ein app-basierter Codegenerator.
YX International, das auf die Herstellung von Mobilfunknetzausrüstung und die Bereitstellung vonSMS-Routing-Dienstenspezialisiert ist, wurde dabei entdeckt, dass es eine interne Datenbank ohne Passwort im Internet offen ließ. Die Datenbank enthielt sensible Informationen, darunter einmalige Sicherheitscodes, die möglicherweise den Zugriff auf Facebook-, Google- und TikTok-Konten von Benutzern ermöglichen könnten.
Offengelegte Datenbank und Zusammenarbeit mit TechCrunch
YX International sendet Berichten zufolge täglich beeindruckende 5 Millionen SMS-Nachrichten. Diese Offenlegung stellte jedoch ein erhebliches Sicherheitsrisiko dar, da sie uneingeschränkten Zugriff auf den Inhalt der an Benutzer gesendeten Textnachrichten ermöglichte, einschließlich einmaliger Zugangscodes und Passwort-Zurücksetzungslinks für große Technologie- und Online-Dienstleistungsunternehmen wie Facebook, WhatsApp, Google und TikTok.
Anurag Sen, ein renommierter Sicherheitsforscher, entdeckte die offengelegte Datenbank und teilte die Details mitTechCrunch, um bei der Identifizierung des Eigentümers und der Meldung der Sicherheitslücke zu helfen. Die Datenbank, die monatliche Protokolle bis Juli 2023 enthielt, wuchs ständig und legte möglicherweise eine große Menge sensibler Informationen offen.
Lesen Sie auch:Wie man die Cybersicherheit nach dem Datenleck des australischen Staatsobergerichts verbessern kann
Sicherheitsprobleme der Zwei-Faktor-Authentifizierung per SMS
Dieser Vorfall wirft Bedenken hinsichtlich der Sicherheit der Zwei-Faktor-Authentifizierung per SMS (2FA) auf, die eine zusätzliche Schutzschicht gegen Kontohacking bieten soll. Obwohl per SMS gesendete 2FA-Codes häufig verwendet werden, sind sie nicht so sicher wie andere Formen der 2FA, wie z. B. App-basierte Codegeneratoren, da sie abgefangen oder offengelegt werden können.
Bei der Entdeckung der von TechCrunch offengelegten Datenbank wurden auch interne E-Mail-Adressen und zugehörige Passwörter von YX International gefunden. Nachdem das Unternehmen alarmiert wurde, wurde die Datenbank schnell offline genommen, und ein Vertreter von YX International erklärte, dass die Sicherheitslücke behoben worden sei.
Lesen Sie auch:Singapur NTU und Ocean Base verbessern Datenbanksysteme
Dauer der Offenlegung und unbefugter Zugriff
Es bleiben Fragen zur Dauer der Offenlegung der Datenbank und dazu, ob ein unbefugter Zugriff stattgefunden haben könnte. Die Reaktion des Unternehmens, insbesondere das Fehlen von Zugriffsprotokollen auf dem Server, lässt Unsicherheit über das Ausmaß des potenziellen Datenlecks bestehen.
Dieser Vorfall unterstreicht die entscheidende Bedeutung robuster Sicherheitsmaßnahmen, insbesondere für Unternehmen, die sensible Benutzerdaten und Kommunikation verarbeiten. In einer Zeit, in der Cybersicherheitsbedrohungen und Datenschutzverletzungen zunehmen, ist es unerlässlich, dass Organisationen dem Schutz von Benutzerinformationen Priorität einräumen und schnell alle Schwachstellen beheben, die die Integrität und Vertraulichkeit von Daten gefährden könnten.
Auf Anfrage zur Stellungnahme reagierten Vertreter von Meta, Google und TikTok nicht auf Bitten um eine Reaktion zu diesem Fall, was den Bedarf an mehr Transparenz und Verantwortlichkeit von Technologieunternehmen im Umgang mit Datensicherheitsvorfällen unterstreicht.
Auf einen Blick
- Name: Datenleck legt 2FA-Codes globaler Tech-Giganten wie Google offen
- Basis: Asien-Pazifik
- Profilfokus:
Funktionsweise
- Öffentliche Aufzeichnungen unterstützen die Überwachung ihrer Rolle, Dienstleistungen und Schlüsselbeziehungen.
Warum es wichtig ist
- Signale aus öffentlichen Quellen unterstützen ein Monitoring mit mittlerer Auswirkung für Sichtbarkeit der Infrastruktur und Abhängigkeitsanalyse.
- Betriebskritikalität: Mittel
- Zeithorizont: Nächstes Quartal
Was ansehen?
- Das Monitoring konzentriert sich auf verifizierte Servicekontinuität, Governance-Änderungen und Beziehungssignale.
Verfolgen Sie bestätigte Quellenaktualisierungen, Rollenänderungen und aktuelle öffentliche Nachweise.
Signale aus öffentlichen Quellen unterstützen ein Monitoring mit mittlerer Auswirkung für Sichtbarkeit der Infrastruktur und Abhängigkeitsanalyse.
Die langfristige Relevanz hängt von verifizierten Betriebs-, Richtlinien- und Beziehungsänderungen ab.
Mitgliederbriefing
Tieferer Profilkontext
Melden Sie sich mit der richtigen Mitgliedschaftsstufe an, um das vollständige Briefing und die Quellennotizen freizuschalten.
Nur für Strategic Circle
Strategic Circle
Offen für alle Leser. Schalten Sie Profil-Briefings nach Beitritt und Anmeldung frei.
Strategic Circle beitretenNur für Leadership Alliance
Leadership Alliance
Für qualifizierte IP-Asset-Eigentümer und Management; melden Sie sich an, um Leadership-Alliance-Briefings freizuschalten.
Leadership Alliance beitreten
