Autentificare 2FA
foto Freepik / Storyset

Descoperirea unei baze de date interne, fără protecție și expusă pe internet, conținând milioane de coduri de securitate (2FA), a declanșat recent valuri de îngrijorare în rândul utilizatorilor de internet. Descoperirea a fost făcută de cercetătorul în securitate Anurag Sen.

Cine deține baza de date 2FA și ce măsuri a luat

Această bază de date, care nu era protejată printr-o parolă, putea fi accesată de oricine cunoștea adresa IP a server-ului, folosind doar un browser web obișnuit. Inițial, nu a fost clar cine deține baza de date expusă, dar TechCrunch a descoperit că partea vinovată a fost  YX International, o companie asiatică ce oferă, printre altele, servicii de rutare a mesajelor SMS text, adică transmitere a mesajelor text de la un dispozitiv la altul.

YX International a securizat baza de date după ce TechCrunch a contactat compania. Cu un flux zilnic de până la 5 milioane de mesaje SMS, baza de date a YX International reprezenta o adevărată comoară de informații sensibile, inclusiv linkuri pentru resetarea parolelor și coduri pentru autentificare în doi factori (2FA) pentru companii precum Google, WhatsApp, Facebook și TikTok.

Anurag Sen, cercetătorul care a descoperit baza de date, a spus că a dat peste aceasta în timpul unei verificări de rutină pe care a efectuat-o pentru a inspecta bazele de date aflate în cloud. Sen a subliniat că multe companii își mută serverele de producție în cloud, dar neglijează implementarea autentificării de bază și a criptării. Baza de date expusă demonstrează, conform lui Sen, că metodele de stocare și procesare a autentificării 2FA ar trebui să fie mai robuste și sigure.

Care sunt riscurile pentru utilizatorii Google, WhatsApp și Facebook ?

Înregistrările din baza de date datează din iulie 2023, iar lipsa unei parole de protecție este alarmantă, dar reprezintă oare un risc de securitate? Privind din perspectiva codurilor 2FA, riscul pare să fie minim, având în vedere că aceste coduri expiră foarte rapid și infractorii cibernetici ar trebui să monitorizeze atât actualizările în baza de date, cât și acțiunile unei ținte potențiale, ceea ce este extrem de improbabil.

Nu ar trebui să folosim SMS pentru codurile de securitate 2FA?

Deși utilizatorii nu trebuie să fie prea îngrijorați din cauza codurilor 2FA disponibile în baza de date configurată greșit și neprotejată, aceasta nu înseamnă că nu există o lecție de învățat.

Incidentul evidențiază riscurile asociate cu utilizarea SMS-urilor pentru transmiterea codurilor de securitate, în special când există alternative mai sigure disponibile. Aceasta demonstrează vulnerabilitățile învechitei tehnologii SMS și sugerează că adoptarea celor mai noi practici de protecție a contului este esențială. Atunci când securitatea și comoditatea sunt în echilibru, a opta pentru altă metodă decât SMS-ul devine o alegere clară.

Alternativele la autentificarea 2FA prin SMS

Aplicații de autentificare – care generează coduri de autentificare temporare pe dispozitivul tău. Exemple de astfel de aplicații includ Google Authenticator, Microsoft Authenticator, Authy și Duo Security.
Chei de securitate hardware – dispozitive fizice, cum ar fi YubiKey, care se conectează la computerul tău prin USB, NFC sau Bluetooth și generează un cod de autentificare atunci când sunt activate.
Autentificare biometrică – implică utilizarea caracteristicilor unice ale corpului tău, cum ar fi amprenta, recunoașterea facială sau scanarea retinei, pentru a confirma identitatea ta.
Autentificare prin e-mail – un cod de autentificare este trimis la adresa ta de e-mail și trebuie introdus pentru a te autentifica.
Autentificare prin apel telefonic – primești un apel telefonic care îți oferă un cod de autentificare.

Incidentul deschide o discuție amplă despre securitatea informațiilor personale și nevoia de a adopta cele mai sigure metode de protecție a datelor în era digitală. În timp ce companiile lucrează pentru a-și îmbunătăți securitatea, utilizatorii trebuie să fie conștienți de riscurile asociate și să ia măsuri proactive pentru a-și proteja informațiile.