Ein Technologieunternehmen, das Millionen von SMS-Textnachrichten in die ganze Welt weiterleitet, hat eine offengelegte Datenbank gesichert, in der einmalige Sicherheitscodes preisgegeben wurden, die Benutzern möglicherweise Zugriff auf ihre Facebook-, Google- und TikTok-Konten gewährt haben.
Das asiatische Technologie- und Internetunternehmen YX International stellt Mobilfunkgeräte her und bietet SMS-Routing-Dienste an. SMS-Routing hilft dabei, zeitkritische Textnachrichten über verschiedene regionale Mobilfunknetze und Anbieter, wie z. B., an ihr richtiges Ziel zu bringen Ein Benutzer erhält einen SMS-Sicherheitscode oder einen Link zum Anmelden bei Online-Diensten.
YX International behauptet zu senden 5 Millionen SMS-Textnachrichten täglich.
Allerdings ließ das Technologieunternehmen eine seiner internen Datenbanken ohne Passwort dem Internet zugänglich, sodass jeder nur mit einem Webbrowser und nur mit Kenntnis der öffentlichen IP-Adresse der Datenbank auf die darin enthaltenen sensiblen Daten zugreifen konnte.
Anurag Sen, ein gutgläubiger Sicherheitsforscher und Experte für die Entdeckung sensibler, aber versehentlich offengelegter Datensätze, die ins Internet gelangen, hat die Datenbank gefunden. Sen sagte, es sei nicht klar, wem die Datenbank gehörte und wem das Leck gemeldet werden sollte. Daher teilte Sen Details der offengelegten Datenbank mit Tech, um den Eigentümer zu identifizieren und die Sicherheitslücke zu melden.
Sen teilte Tech mit, dass die offengelegte Datenbank den Inhalt von Textnachrichten enthielt, die an Benutzer gesendet wurden, darunter Einmalpasswörter und Links zum Zurücksetzen von Passwörtern für einige der weltweit größten Technologie- und Online-Unternehmen, darunter Facebook und WhatsApp, Google, TikTok und andere.
Die Datenbank enthielt monatliche Protokolle, die bis Juli 2023 zurückreichten, und wurde von Minute zu Minute größer.
Die Zwei-Faktor-Authentifizierung (2FA) bietet einen besseren Schutz vor Online-Kontodiebstahl, der auf dem Diebstahl von Passwörtern beruht, indem ein zusätzlicher Code an ein vertrauenswürdiges Gerät, beispielsweise das Telefon einer anderen Person, gesendet wird. Zwei-Faktor-Codes und Passwort-Resets, wie sie in der offengelegten Datenbank zu finden sind, verfallen normalerweise nach einigen Minuten oder sobald sie verwendet werden.
Über SMS-Textnachrichten gesendete Codes sind jedoch nicht so sicher wie stärkere Formen von 2FA – beispielsweise ein App-basierter Codegenerator –, da SMS-Textnachrichten anfällig dafür sind, abgefangen oder offengelegt zu werden, oder in diesem Fall aus einer Datenbank an die Öffentlichkeit gelangen zu können Netz.
In der offengelegten Datenbank fand Tech Sätze interner E-Mail-Adressen und entsprechender Passwörter, die mit YX International in Verbindung stehen, und machte das Unternehmen auf die verschüttete Datenbank aufmerksam. Die Datenbank ging kurze Zeit später offline. Ein Vertreter von YX International, der seinen Namen nicht nannte, antwortete kurz darauf, dass das Unternehmen „diese Sicherheitslücke geschlossen“ habe.
Auf Nachfrage von Tech sagte der Vertreter von YX International, dass der Server keine Zugriffsprotokolle speicherte, die festgestellt hätten, ob jemand anderes als Sen die offengelegte Datenbank und ihren Inhalt entdeckt hätte.
YX International wollte nicht sagen, wie lange die Datenbank offengelegt war.
Als er per E-Mail kontaktiert wurde, äußerte sich ein Meta-Sprecher nicht. Sprecher von Google und TikTok antworteten nicht auf Anfragen nach Kommentaren.