正當您認為雙因素身份驗證足以保護您的在線帳戶時,一個令人不安的發現表明,由於人為錯誤,該系統如何構成。TechCrunch報告稱,包含超過2600萬條2FA代碼,密碼重置鏈接和傳遞跟蹤詳細信息的文本消息數據庫被公開排除 - 其收件人可能已被盜用。
安全研究員SébastienKaulKaul在Shodan(一家公共數據庫的搜索引擎)上發現了一個名為Voxox的電話公司所擁有的數據庫。它還附加到Voxox的子域,具有易於搜索的前端。您可以使用它輕鬆查找電話號碼,姓名和短信。
Voxox提供基於SMS的API,可將代碼轉換為文本消息以對用戶進行身份驗證。TechCrunch的 發現暴露的數據庫包含消息來驗證Trivia HQ和Viber的電話號碼,華為賬號的驗證碼,微軟的密碼重置碼 帳戶,雅虎 帳戶密鑰和亞馬遜 運送跟蹤鏈接。
另一位負責審查調查結果的安全研究員Dylan Katz表示,這些數據可能已被搶購併被惡意第三方使用。
TechCrunch聯繫後,該公司將數據庫關閉。Voxox的聯合創始人Kevin Hertz在一封電子郵件中表示,該公司正在調查此事並評估事件的影響。
分享到:
閱讀更多 珵燊AI科技 的文章
關鍵字: Viber TechCrunch 亞馬遜公司
