Milhões de códigos de segurança 2FA do Google, WhatsApp, Facebook e TikTok foram vazados porque um banco de dados da YX International com registros mensais que datam de julho de 2023 estava desprotegido, apesar de estar conectado à Internet, de acordo com o pesquisador de segurança Anurag Sen.
Por causa disso, qualquer pessoa que soubesse o endereço IP poderia acessar o banco de dados com apenas um navegador da Web. Por sua vez, foi o site TechCrunch que informou que a YX International - uma empresa asiática que fornece roteamento de 5 milhões de mensagens de texto SMS por dia - havia sido vítima do vazamento de links de redefinição de senha e códigos 2FA para Google, WhatsApp, Facebook e TikTok, bem como contas de e-mail e senhas internas da empresa.
Em termos simples, o roteamento de SMS é o que ajuda a enviar mensagens de texto para o destino correto usando redes de celular e provedores regionais. É assim que um usuário recebe um código de segurança por SMS ou um link para fazer login em uma de suas contas ou serviços na Internet.
Earlier secured this exposed server which was exposing 2FA codes without any authentication. It shows the importance of managing critical data for such big companies who has millions of Users. Read full report with @happygeek https://t.co/vjTI7njlX5
— Anurag Sen (@hak1mlukha) March 4, 2024
"Muitas empresas estão transferindo seus servidores de produção para a nuvem, mas, infelizmente, eles não têm autenticação e criptografia básicas", disse Sen à Forbes. "O banco de dados exposto mostra que o método de armazenamento e processamento da 2FA deve ser muito mais robusto e seguro", acrescentou.
Observação: a autenticação de dois fatores, ou 2FA, além de exigir um nome de usuário e uma senha, requer a entrada de um segundo fator, que pode ser um código de segurança ou uma biometria, para que a autenticação seja bem-sucedida.
Esse vazamento de dados representa um risco para os usuários?
A resposta rápida pode ser "não", embora um clique duplo seja sempre bom: apesar de um código 2FA tenha uma vida útil muito curta e expire rapidamente, um cibercriminoso pode tirar vantagem monitorando o banco de dados e as ações de uma vítima ou alvo.
Jake Moore, especialista em cibersegurança da ESET, destacou: "As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras.
Resumindo, embora os usuários não devam ficar muito preocupados com a existência de códigos 2FA no banco de dados vazado, isso deve ser um convite para explorar outras medidas de segurança disponíveis. Como explica Moore: "As mensagens de texto usam tecnologia ultrapassada, e uma prática de segurança muito boa é manter-se atualizado com os mais recentes desenvolvimentos em proteção de contas".
Além do baixo risco, a YX International assegurou que a vulnerabilidade foi corrigida.