новости

База данных с миллионами кодов двухфакторной аутентификации попала в открытый доступ. Она обновлялась в режиме реального времени

Источник: Meduza

База данных американской телекоммуникационной компании Voxox с 26 миллионами текстовых сообщений, содержащих ссылки для сброса паролей и коды двухфакторной аутентификации, оказалась в открытом доступе. Об этом пишет TechCrunch.

База была обнаружена специалистом по безопасности из Берлина Себастьяном Каулом — он случайно нашел ее с помощью поисковой системы Shodan, индексирующей общедоступные базы данных. Как оказалось, сервер, на котором находилась база, не был защищен паролем.

TechCrunch проанализировал содержавшиеся в базе сообщения. Среди них были, например, коды двухфакторной аутентификации для учетных записей Google, коды для трекинга отправлений Amazon, временные пароли для интернет-банкинга, коды для сброса учетной записи Microsoft и другая аналогичная информация. Данные обновлялись практически в реальном времени, с задержкой лишь в несколько минут. Таким образом, коды в базе были актуальны на момент появления, и их нахождение в открытом доступе представляло реальную угрозу безопасности.

Пример сообщения, находившегося в свободном доступе. Оно содержит, в частности, номер телефона пользователя и код для сброса аккаунта Microsoft.

TechCrunch

Компания Voxox после сообщения от журналистов устранила ошибку и закрыла доступ к базе. В компании заявили, что проводят внутреннее расследование инцидента.

Григорий Левченко

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.