Database leak exposes 2FA codes of global tech giants like Google

• El enrutamiento de SMS ayuda a que los mensajes de texto urgentes lleguen a su destino adecuado a través de diversas redes celulares regionales y proveedores, como cuando un usuario recibe un código de seguridad por SMS o un enlace para iniciar sesión en servicios en línea.
• Los códigos enviados por mensajes de texto SMS no son tan seguros como formas más robustas de 2FA, como un generador de códigos basado en una aplicación.

YX International, que se especializa en la fabricación de equipos de redes celulares y en la prestación de servicios de enrutamiento de mensajes de texto SMS, ha dejado expuesta una base de datos interna en internet sin contraseña. La base de datos contenía información sensible, incluidos códigos de seguridad de un solo uso que podrían haber otorgado acceso a las cuentas de Facebook, Google y TikTok de los usuarios.

Base de datos expuesta y colaboración con TechCrunch

Según se informa, YX International envía la asombrosa cifra de 5 millones de mensajes de texto SMS al día. Sin embargo, esta exposición representaba un riesgo de seguridad significativo, ya que permitía el acceso sin restricciones al contenido de los mensajes de texto enviados a los usuarios, incluidos códigos de acceso de un solo uso y enlaces de restablecimiento de contraseña para importantes empresas tecnológicas y de servicios en línea como Facebook, WhatsApp, Google y TikTok. Ver también: FLESSIO-AS Thomas Soo trading as flessio.

Anurag Sen, un investigador de seguridad de buena reputación, descubrió la base de datos expuesta y compartió los detalles con TechCrunch para ayudar a identificar a su propietario y reportar el fallo de seguridad. La base de datos, que contenía registros mensuales desde julio de 2023, crecía continuamente, lo que podría exponer una gran cantidad de información sensible.

Lea también: ¿Cómo mejorar la ciberseguridad tras la filtración de la base de datos de los tribunales estatales australianos?

Preocupaciones de seguridad de la 2FA basada en SMS

Este incidente plantea inquietudes sobre la seguridad de la autenticación de dos factores (2FA) basada en SMS, diseñada para proporcionar una capa adicional de protección contra el secuestro de cuentas. Aunque los códigos 2FA enviados por SMS se usan con frecuencia, no son tan seguros como otras formas de 2FA, como los generadores de códigos basados en aplicaciones, ya que son susceptibles de intercepción o exposición.

Cuando TechCrunch descubrió la base de datos expuesta, también se encontraron conjuntos de direcciones de correo electrónico internas y contraseñas asociadas con YX International. Tras alertar a la empresa, la base de datos se desconectó de inmediato, y un representante de YX International afirmó que la vulnerabilidad había sido solucionada. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

Lea también: NTU de Singapur y Ocean Base mejorarán los sistemas de bases de datos

Duración de la exposición y acceso no autorizado

Quedan dudas sobre la duración de la exposición de la base de datos y si podría haber ocurrido un acceso no autorizado. La respuesta de la empresa, en particular la ausencia de registros de acceso en el servidor, deja incertidumbre sobre el alcance de la posible violación de datos. Ver también: NOBAQ Nikolaus Hammler.

Este incidente subraya la importancia crítica de contar con medidas de seguridad sólidas, especialmente para las empresas que manejan datos y comunicaciones sensibles de los usuarios. En una era de crecientes amenazas cibernéticas y filtraciones de datos, es imperativo que las organizaciones den prioridad a la protección de la información de los usuarios y solucionen con prontitud cualquier vulnerabilidad que pueda comprometer la integridad y privacidad de los datos. Ver también: Internet Utilities Europe and Asia Limited.

Al ser contactados para hacer comentarios, los representantes de Meta, Google y TikTok no respondieron a las solicitudes de información sobre el asunto, lo que pone de relieve la necesidad de una mayor transparencia y responsabilidad por parte de las empresas tecnológicas a la hora de abordar los incidentes de seguridad de datos. Ver también: Asociación HUGUET (anteriormente INDIA-01).