تسربت قاعدة بيانات متسربة من رموز المصادقة الثنائية (2FA) لعمالقة التكنولوجيا في العالم
قامت شركة تكنولوجيا تقوم بتوجيه ملايين الرسائل النصية القصيرة حول العالم بتأمين قاعدة بيانات مكشوفة كانت تتسرب من رموز الأمان لمرة واحدة والتي ربما منحت المستخدمين الوصول إلى حساباتهم على Facebook وGoogle وTikTok.
تقوم شركة التكنولوجيا والإنترنت الآسيوية YX International بتصنيع معدات الشبكات الخلوية وتوفير خدمات توجيه الرسائل النصية القصيرة. يساعد توجيه الرسائل النصية القصيرة (SMS) في إيصال الرسائل النصية ذات الأهمية الزمنية إلى وجهتها الصحيحة عبر مختلف شبكات الخلايا الإقليمية ومقدمي الخدمات، مثل تلقي المستخدم رمز أمان SMS أو رابطًا لتسجيل الدخول إلى الخدمات عبر الإنترنت.
تدعي شركة YX International أنها ترسل 5 ملايين رسالة نصية قصيرة يوميًا.
لكن شركة التكنولوجيا تركت إحدى قواعد بياناتها الداخلية مكشوفة للإنترنت بدون كلمة مرور، مما يسمح لأي شخص بالوصول إلى البيانات الحساسة بالداخل باستخدام متصفح الويب فقط، فقط من خلال معرفة عنوان IP العام لقاعدة البيانات.
أنوراغ سين، باحث أمني حسن النية وخبير في اكتشاف مجموعات البيانات الحساسة ولكن المكشوفة عن غير قصد والتي تتسرب إلى الإنترنت، عثر على قاعدة البيانات. وقال سين إنه لم يكن من الواضح الجهة التي تنتمي إليها قاعدة البيانات، ولا الجهة التي يجب الإبلاغ عنها عن التسريب، لذلك شارك سين تفاصيل قاعدة البيانات المكشوفة مع TechCrunch للمساعدة في تحديد مالكها والإبلاغ عن الثغرة الأمنية.
وقال سين لـ TechCrunch إن قاعدة البيانات المكشوفة تضمنت محتويات الرسائل النصية المرسلة إلى المستخدمين، بما في ذلك رموز المرور لمرة واحدة وروابط إعادة تعيين كلمة المرور لبعض أكبر شركات التكنولوجيا وشركات الإنترنت في العالم، بما في ذلك Facebook وWhatsApp وGoogle وTikTok وغيرها.
تحتوي قاعدة البيانات على سجلات شهرية يعود تاريخها إلى يوليو 2023، وكان حجمها يتزايد كل دقيقة.
توفر المصادقة الثنائية (2FA) حماية أكبر ضد عمليات اختطاف الحسابات عبر الإنترنت التي تعتمد على سرقة كلمة المرور عن طريق إرسال رمز إضافي إلى جهاز موثوق به، مثل هاتف شخص ما. عادةً ما تنتهي صلاحية الرموز الثنائية وعمليات إعادة تعيين كلمة المرور، مثل تلك الموجودة في قاعدة البيانات المكشوفة، بعد بضع دقائق أو بمجرد استخدامها.
لكن الرموز المرسلة عبر الرسائل النصية القصيرة ليست آمنة مثل الأشكال الأقوى من المصادقة الثنائية – على سبيل المثال، مولد الأكواد المستندة إلى التطبيق – نظرًا لأن الرسائل النصية القصيرة عرضة للاعتراض أو التعرض، أو في هذه الحالة، التسرب من قاعدة بيانات إلى البيانات المفتوحة الويب.
في قاعدة البيانات المكشوفة، عثرت TechCrunch على مجموعات من عناوين البريد الإلكتروني الداخلية وكلمات المرور المقابلة المرتبطة بشركة YX International، ونبهت الشركة إلى قاعدة البيانات المنسكبة. أصبحت قاعدة البيانات غير متصلة بالإنترنت بعد وقت قصير. ورد ممثل شركة YX International، الذي لم يذكر اسمه، بعد وقت قصير من قوله إن الشركة “أغلقت هذه الثغرة الأمنية”.
عندما سأله TechCrunch، قال ممثل YX International إن الخادم لم يخزن سجلات الوصول، الأمر الذي كان سيحدد ما إذا كان أي شخص آخر غير Sen قد اكتشف قاعدة البيانات المكشوفة ومحتوياتها.
ولم تذكر شركة YX International المدة التي تم فيها كشف قاعدة البيانات.
وعندما تم التواصل معنا عبر البريد الإلكتروني، لم يعلق المتحدث الرسمي باسم Meta. ولم يستجب المتحدثون الرسميون باسم Google وTikTok لطلبات التعليق.
اكتشاف المزيد من مجلة كوكان
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.