- Le routage SMS permet d'acheminer les messages texte urgents vers leur destination appropriée sur les différents réseaux cellulaires régionaux et fournisseurs, par exemple lorsqu'un utilisateur reçoit un code de sécurité SMS ou un lien pour se connecter à des services en ligne.
- Les codes envoyés par SMS ne sont pas aussi sécurisés que les formes plus robustes d'authentification à deux facteurs (2FA), comme un générateur de code basé sur une application.
YX International, qui se spécialise dans la fabrication d'équipements de réseau cellulaire et la fourniture de services de routage de messages SMS, a été découvert avoir laissé une base de données interne exposée sur Internet sans mot de passe. La base de données contenait des informations sensibles, notamment des codes de sécurité à usage unique qui pourraient potentiellement permettre l'accès aux comptes Facebook, Google et TikTok des utilisateurs.
Base de données exposée et collaboration avec TechCrunch
YX International enverrait apparemment le nombre impressionnant de 5 millions de messages SMS par jour. Cependant, cette exposition représentait un risque de sécurité important, car elle permettait un accès sans restriction au contenu des messages texte envoyés aux utilisateurs, y compris les codes d'accès à usage unique et les liens de réinitialisation de mot de passe pour les grandes entreprises technologiques et de services en ligne comme Facebook, WhatsApp, Google et TikTok.
Anurag Sen, un chercheur en sécurité réputé, a découvert la base de données exposée et a partagé les détails avec TechCrunch pour aider à identifier son propriétaire et signaler la faille de sécurité. La base de données, qui contenait des journaux mensuels remontant à juillet 2023, ne cessait de croître, exposant potentiellement une vaste quantité d'informations sensibles.
Lire aussi: Comment renforcer la cybersécurité après la violation de la base de données de la Cour d'État australienne ?
Problèmes de sécurité de l'authentification à deux facteurs par SMS
Cet incident soulève des inquiétudes quant à la sécurité de l'authentification à deux facteurs par SMS (2FA), conçue pour fournir une couche de protection supplémentaire contre le piratage de compte. Bien que les codes 2FA envoyés par SMS soient couramment utilisés, ils ne sont pas aussi sécurisés que d'autres formes de 2FA, telles que les générateurs de code basés sur des applications, car ils sont susceptibles d'être interceptés ou exposés.
Lors de la découverte de la base de données exposée par TechCrunch, des ensembles d'adresses e-mail internes et de mots de passe correspondants associés à YX International ont également été trouvés. Après avoir alerté l'entreprise, la base de données a été rapidement mise hors ligne, et un représentant de YX International a déclaré que la vulnérabilité avait été corrigée.
Lire aussi: Singapore NTU et Ocean Base pour améliorer les systèmes de base de données
La durée de l'exposition et l'accès non autorisé
Des questions subsistent quant à la durée de l'exposition de la base de données et à savoir si un accès non autorisé a pu avoir lieu. La réponse de l'entreprise, notamment en ce qui concerne l'absence de journaux d'accès sur le serveur, laisse planer l'incertitude sur l'étendue de la violation potentielle de données.
Cet incident souligne l'importance cruciale de mesures de sécurité robustes, en particulier pour les entreprises qui traitent des données et des communications sensibles des utilisateurs. À une époque où les menaces de cybersécurité et les violations de données se multiplient, il est impératif que les organisations accordent la priorité à la protection des informations des utilisateurs et corrigent rapidement toute vulnérabilité susceptible de compromettre l'intégrité et la confidentialité des données.
Sollicités pour commenter, les représentants de Meta, Google et TikTok n'ont pas répondu aux demandes de réaction sur cette affaire, soulignant le besoin d'une plus grande transparence et responsabilité de la part des entreprises technologiques dans le traitement des incidents de sécurité des données.