Исследователи обнаружили в интернете сервер компании Voxox (бывшая Telcentris), который служил шлюзом для передачи в SMS различных одноразовых паролей, ссылок для сбросов паролей, и тд. Компании, подобные Vovox, предоставляют сервисы многим компаниям-разработчикам других приложений или сервисов, для того, чтобы обеспечивать доставку подобных текстовых сообщений — они конвертируют коды в SMS и отправляют их в сотовые сети.
https://techcrunch.com/2018/11/15/millions-sms-text-messages-leaked-two-factor-codes/
Сервер был доступен в интернете, без какой-либо защиты паролем, и позволял желающим (и знающим, куда смотреть) увидеть практически в реальном времени поток различных сообщений. Кроме того, на сервере была настроена Kibana, что позволяло легко и удобно просматривать всю информацию, формировать поисковые запросы, и тд. Вопрос лишь в том, знали ли об этом какие-нибудь злоумышленники и могли ли они применить сценарий, при котором доступ к этой информации мог быть использован с пользой для них.
Очередное доказательство того, что SMS-подтверждения — зло, и лучше пользоваться приложениями-аутентификаторами.
Discover more from alexmak.net
Subscribe to get the latest posts sent to your email.