• 短信路由有助于将时间紧迫的文本消息通过各种区域蜂窝网络和提供商送达正确目的地,例如用户接收用于登录在线服务的短信安全码或链接。
  • 通过短信发送的验证码不如更安全的 2FA 形式——例如基于应用的代码生成器——来得安全。

YX International是一家专门制造蜂窝网络设备并提供SMS短信路由服务的公司,该公司被发现其内部数据库在未设置密码的情况下暴露于互联网。该数据库包含敏感信息,包括可能让用户获得 Facebook、Google 和 TikTok 账户访问权限的一次性安全码。

暴露的数据库与 TechCrunch 的合作

据报道,YX International 每天发送高达 500 万条短信。然而,此次暴露构成了重大安全风险,因为它允许无限制地访问发送给用户的短信内容,包括用于 Facebook、WhatsApp、Google 和 TikTok 等主要科技公司和在线服务的一次性密码和密码重置链接。

知名安全研究员 Anurag Sen 发现了这个暴露的数据库,并将细节共享给TechCrunch,以帮助识别其所有者并报告安全漏洞。该数据库拥有自 2023 年 7 月以来的月度日志,其规模持续增长,可能暴露了大量敏感信息。

另请阅读:如何在澳大利亚州法院数据库泄露后提升网络安全?

基于短信的 2FA 安全顾虑

此事件引发了对基于短信的双因素认证(2FA)安全性的担忧,该认证旨在为防止账户劫持提供额外保护层。虽然通过短信发送的 2FA 码被广泛使用,但它们不如其他形式的 2FA(例如基于应用的代码生成器)安全,因为它们容易被拦截或暴露。

在 TechCrunch 发现这个暴露的数据库时,还发现了与 YX International 相关的一系列内部电子邮件地址和相应的密码。在通知该公司后,数据库被立即下线,YX International 的一位代表表示该漏洞已被处理。

另请阅读:新加坡南洋理工大学和 Ocean Base 提升数据库系统

暴露的持续时间与未经授权的访问

关于数据库暴露的持续时间以及是否可能发生了未经授权的访问,仍存在疑问。该公司的回应,特别是关于服务器上缺乏访问日志的问题,使得潜在数据泄露的规模仍不确定。

该事件凸显了健全安全措施的极端重要性,尤其是对于处理敏感用户数据和通信的公司。在网络安全威胁和数据泄露日益增多的时代,各组织必须优先保护用户信息,并及时处理任何可能危及数据完整性和隐私的漏洞。

在寻求评论时,Meta、Google 和 TikTok 的代表均未回应就此事提供意见的请求,这凸显了科技公司在处理数据安全事件时需要更大的透明度和问责制。