Uma empresa de tecnologia que roteia milhões de mensagens de texto SMS em todo o mundo protegeu um banco de dados exposto que divulgava códigos de segurança únicos que podem ter concedido aos usuários acesso às suas contas do Facebook, Google e TikTok.
A empresa asiática de tecnologia e internet YX International fabrica equipamentos de rede celular e fornece serviços de roteamento de mensagens de texto SMS. O roteamento de SMS ajuda a levar mensagens de texto urgentes ao destino adequado em várias redes e provedores de celular regionais, como um usuário recebendo um código de segurança SMS ou link para fazer login em serviços online.
YX International afirma enviar 5 milhões de mensagens de texto SMS diariamente.
Mas a empresa de tecnologia deixou um de seus bancos de dados internos exposto à internet sem senha, permitindo que qualquer pessoa acessasse os dados confidenciais de seu interior usando apenas um navegador da web, apenas com conhecimento do endereço IP público do banco de dados.
Anurag Sen, um pesquisador de segurança de boa fé e especialista em descobrir conjuntos de dados confidenciais, mas expostos inadvertidamente, que vazam para a Internet, encontrou o banco de dados. Sen disse que não estava claro a quem pertencia o banco de dados, nem a quem relatar o vazamento, então Sen compartilhou detalhes do banco de dados exposto com o TechCrunch para ajudar a identificar seu proprietário e relatar a falha de segurança.
Sen disse ao TechCrunch que o banco de dados exposto incluía o conteúdo de mensagens de texto enviadas aos usuários, incluindo senhas únicas e links de redefinição de senha para algumas das maiores empresas de tecnologia e online do mundo, incluindo Facebook e WhatsApp, Google, TikTok e outras.
O banco de dados tinha registros mensais que datavam de julho de 2023 e crescia a cada minuto.
A autenticação de dois fatores (2FA) oferece maior proteção contra sequestros de contas online que dependem de roubo de senha, enviando um código adicional para um dispositivo confiável, como o telefone de alguém. Códigos de dois fatores e redefinições de senha, como os encontrados no banco de dados exposto, normalmente expiram após alguns minutos ou após serem usados.
Mas os códigos enviados por mensagens de texto SMS não são tão seguros quanto as formas mais fortes de 2FA – um gerador de código baseado em aplicativo, por exemplo – uma vez que as mensagens de texto SMS são propensas à interceptação ou exposição ou, neste caso, ao vazamento de um banco de dados para o aberto. rede.
No banco de dados exposto, o TechCrunch encontrou conjuntos de endereços de e-mail internos e senhas correspondentes associados à YX International e alertou a empresa sobre o vazamento do banco de dados. O banco de dados ficou offline pouco tempo depois. Um representante da YX International, que não forneceu seu nome, respondeu logo após dizer que a empresa “selou esta vulnerabilidade”.
Quando questionado pelo TechCrunch, o representante da YX International disse que o servidor não armazenava logs de acesso, o que teria determinado se alguém além de Sen descobrisse o banco de dados exposto e seu conteúdo.
A YX International não informou por quanto tempo o banco de dados ficou exposto.
Quando contatado por e-mail, um porta-voz da Meta não comentou. Porta-vozes do Google e do TikTok não responderam aos pedidos de comentários.