黑客揭露了导致双重验证码 未经授权访问的安全漏洞

2024-03-02 13:52

免责声明 免责声明:内容来源于网络收集,不构成任何投资建议!

概括:

• 一名安全研究人员最近透露,一个包含公司两步验证码的大型数据库被公开。

•这些数据与谷歌、Meta 和TikTok 使用的一项服务有关,该服务用于发送包含验证码的短信,以尽快验证用户的身份。

• 这些双因素身份验证存在多种形式的犯罪,从侵入个人的iCloud 到窃取他们的电话号码,再到绕过加密。

黑客揭露了导致双重验证码 未经授权访问的安全漏洞

一名安全研究人员发现了一个不受保护的数据库,该数据库管理对一些全球最大科技公司服务的访问。该数据库属于短消息服务(SMS) 路由运营商,负责向Meta、谷歌以及可能的加密公司的用户发送双因素身份验证(2FA) 代码。

研究人员Anurag Sen 发现该公司的YX International 数据库在公共互联网上没有密码保护。任何知道公共互联网协议(IP) 地址的人都可以查看数据。

受受双重身份验证泄漏影响的用户

YX International 向登录Meta、Google 和TikTok 平台的用户发送安全代码。该公司确保用户的消息通过全球移动网络快速传递。它发送的消息包括安全代码,这些安全代码构成许多大公司用来保护用户帐户的双因素身份验证方案的一部分。

某些服务提供商(例如Google)可以通过在输入密码后发送短信代码来验证用户的真实性。其他身份验证选项包括从身份验证应用程序生成一串代码来补充密码。

黑客揭露了导致双重验证码 未经授权访问的安全漏洞

红框显示SMS 2FA 身份验证的弱点资料来源:All Things Auth

虽然双因素身份验证旨在提高安全性,但它并不是灵丹妙药。因此,加密货币交易所Coinbase 警告称,2FA 是最低限度的安全措施,但并非绝对安全。黑客仍然可能找到从加密钱包窃取资金的方法。

Coinbase 表示:

“虽然2FA 旨在提高安全性,但它并不是万无一失的。获得双因素身份验证的黑客仍然可以获得对帐户的未经授权的访问。常见的方法包括网络钓鱼攻击、帐户恢复程序和恶意软件。黑客还可以拦截文本2FA 中使用的消息。”

犯罪分子正在使用这些方法来绕过 2FA

去年,有报道称犯罪分子如何在苹果设备上绕过2FA。黑客可以通过苹果访问iCloud云平台,并将用户的电话号码替换为自己的电话号码。该方案会损害苹果设备上的加密钱包应用程序中的资金,因为某些应用程序可能会向受攻击的电话号码发送验证码。

犯罪分子还可以利用SIM 卡交换进行两步验证加密诈骗。在这种攻击方法中,犯罪分子说服AT&T 或Verizon 等移动运营商将电话号码从合法所有者转移到欺诈者的名下。然后,犯罪分子只需要再提供一条信息即可访问实际拥有电话号码的自托管钱包应用程序。

鉴于量子技术的蓬勃发展,苹果最近提高了iPhone 中嵌入的Secure Enclave 硬件设备的安全性。每当恶意行为者破坏旧密钥时,后量子加密方案就会创建新密钥。

此功能可以帮助加密钱包开发人员通过在Secure Enclave 中存储关键信息来提高客户的加密安全性。到目前为止,至少有一家提供商已使用Secure Enclave 授予对其钱包应用程序的访问权限。

记者联系了币安和全球最大的加密货币交易所Coinbase,了解XY国际数据泄露是否影响了他们的用户。截至发稿时,两家公司均未做出回应。