Millones de códigos de seguridad 2FA de Google, WhatsApp y Facebook filtrados en línea


Investigadores de seguridad descubren códigos 2FA filtrados en línea desde bases de datos inseguras

Picture Alliance a través de Getty Images

Los expertos en seguridad desaconsejan el uso de mensajes SMS como códigos de autenticación de dos factores debido al riesgo de interceptación y acceso no autorizado. Los investigadores de seguridad descubrieron recientemente una base de datos insegura en Internet que contiene millones de códigos de este tipo a los que cualquiera puede acceder fácilmente.

03/06 Consulte a continuación para obtener información actualizada. Este artículo se publicó originalmente el 4 de marzo.

Base de datos de SMS confidencial no protegida en línea

Base de datos interna descubierta por investigadores de seguridad Anurag SenAunque estaba conectado a Internet, no estaba protegido sin contraseña. Cualquiera que conozca la dirección IP de la base de datos puede acceder a ella sin utilizar funciones avanzadas más allá de un navegador web estándar.

El propietario de la base de datos expuesta no quedó claro de inmediato, pero un reportero de TechCrunch contactado dijo que el culpable fue YX International, una empresa asiática que brinda servicios como el enrutamiento de mensajes de texto SMS. YX International aseguró la base de datos después de que TechCrunch se comunicara con la empresa.

Forbes advierte que se han filtrado 26 mil millones de registros: Dropbox, LinkedIn y Twitter nombrados por Davey Winder

La base de datos de YX International era un tesoro de información confidencial, con hasta 5 millones de mensajes SMS enviados cada día. También incluía información como enlaces para restablecer contraseñas y códigos 2FA para empresas como Google, WhatsApp, Facebook y TikTok.

Me comuniqué con YX International, Google, Meta y TikTok para hacer comentarios.

Hablé con Anurag Sen, el investigador que descubrió la base de datos. Dijo: “Descubrí la base de datos durante una inspección periódica que estaba realizando”. Sen dijo que han estado haciendo esto durante los últimos cinco años para inspeccionar bases de datos basadas en la nube. “Muchas empresas están trasladando sus servidores de producción a la nube, pero no cuentan con autenticación ni cifrado básicos”, afirma Sen. Sen dijo que la base de datos publicada muestra que “la forma en que almacenamos y procesamos 2FA debe ser más sólida y segura”.

¿Los usuarios de Google, WhatsApp y TikTok tienen algo de qué preocuparse?

Es sorprendente que no haya una contraseña para proteger esta base de datos, con registros que se remontan a julio de 2023, pero ¿es esto un riesgo de seguridad? Debo decir que no es un gran riesgo desde la perspectiva del código 2FA. Después de todo, dichos códigos caducan rápidamente y los actores de amenazas deben monitorear tanto sus adiciones a la base de datos como el comportamiento de sus objetivos. Dada la forma en que funcionan las cosas, esto es ciertamente muy improbable.

¿Esto significa que no debería usar SMS para códigos de seguridad 2FA?

Jake Moore, asesor de ciberseguridad global de ESET, dijo: “Las contraseñas de un solo uso a través de SMS son una opción mucho más segura que depender únicamente de las contraseñas, pero la amenaza en sí tiene múltiples capas, por lo que es importante mantener segura la cuenta. Necesito la protección multicapa más fuerte para mantenerlo así”. Las claves de acceso, las aplicaciones de autenticación y las claves de seguridad físicas brindan protección adicional. “Por lo tanto, ahora que la seguridad es más fácil que nunca de configurar, cualquiera que dependa únicamente de contraseñas o utilice códigos SMS 2FA puede querer reconsiderar su elección original”, continúa Moore.

Los usuarios no tienen que preocuparse demasiado de que la base de datos en cuestión contenga un código 2FA mal configurado y no seguro, pero eso no significa que no haya lecciones que aprender. De hecho, sólo añade peso al argumento a favor de no utilizar SMS cuando hay otras opciones disponibles. Esto se debe a que indica que dichos códigos de mensajes de texto pueden verse comprometidos. “Los mensajes de texto utilizan tecnología obsoleta, por lo que es una buena práctica mantenerse actualizado con las últimas protecciones de cuenta que se ofrecen”, concluye Moore. “Pero cuando la comodidad y la seguridad se combinan perfectamente, es muy fácil elegir una opción distinta a los SMS”.

ForbesGoogle anuncia que eliminará algunas cuentas de Gmail y bloqueará mensajesPor Davey Winder

Actualizado el 06/03: Las claves de acceso a menudo se citan como una alternativa más segura a 2FA, pero en realidad es más exacto pensar en ellas como una forma de combinar 2FA con algo más seguro que una contraseña. Aunque es poco probable que los atacantes hayan explotado el código 2FA filtrado en la violación de la base de datos de YX International por las razones mencionadas anteriormente, el hecho de que se haya agregado a la base de datos dentro de su período de validez sigue siendo una preocupación. Entonces, ¿existen problemas de seguridad con las claves de acceso? Cuando le planteé esta pregunta al vicepresidente de SpyCloud Labs, Trevor Hilligoss, dijo: “Las claves de acceso no son más vulnerables que las contraseñas a amenazas tradicionales como la falta de higiene”, pero dijo: “Las claves de acceso no son una solución de seguridad única para todos”. medida. No debe verse como una solución”. Los piratas informáticos pueden utilizar métodos como el secuestro de sesiones para eludir procesos de autenticación como contraseñas, 2FA y claves de acceso.

“El principal culpable de este método de elusión es el malware”, explica Hilligos. “El malware Infostealer está diseñado para robar datos, incluidos archivos almacenados en el disco duro de su computadora y datos basados ​​en el navegador, como cookies de sesión asignadas por un sitio web y almacenadas en su navegador después de iniciar sesión. Estas cookies facilitan la navegación y regresar al sitio sin repetir el proceso de autenticación cada vez, y son un elemento importante de una buena experiencia de usuario cuando visita sitios que requieren que inicie sesión “. Sin embargo, estas cookies también se venden comúnmente en el mercado criminal y pueden usarse en junto con “navegadores anónimos” para engañar a los sitios haciéndoles creer que su sesión ya ha sido autenticada correctamente. “Los delincuentes que obtienen acceso a su cuenta mediante el secuestro de sesión pueden hacerse pasar por usuarios legítimos de su sitio”, advierte Hilligos. “Tienes acceso completo a toda la información y privilegios que tenía el usuario original”.

Si olvida su contraseña de Forbes, 1Password dice que esta nueva tecnología es casi a prueba de piratas informáticos. Por Davey Winder

Además, algunas claves de acceso también requieren autenticación multifactor para mayor seguridad, pero en realidad suele ser un tipo de contraseña que actúa como una capa de autenticación. En resumen, dice Hilligos, “la mayoría de los métodos de autenticación sin contraseña todavía requieren una contraseña de alguna manera”.

A medida que las opciones de seguridad evolucionan y las técnicas delictivas continúan evolucionando, es importante que los equipos de seguridad estén conscientes y se preparen para un enfoque de múltiples capas para combatir cualquier riesgo. Hilligoss advierte que incluso si las cookies de sesión se ven comprometidas, se deben tomar medidas para limitar los riesgos asociados con ellas. “Revocar privilegios para dispositivos y aplicaciones que no utiliza, limitar la cantidad de tiempo que las sesiones están activas y[ログイン情報を記憶]Al no marcar la casilla, se reduce el riesgo de exposición a largo plazo”, dice Hilligos. “Además, siempre que sea posible, utilice opciones seguras de MFA, como tokens basados ​​en aplicaciones o hardware, en lugar de métodos menos seguros, como correo electrónico o MFA basado en SMS”.





Fuente: https://www.forbes.com/sites/daveywinder/2024/03/06/millions-of-google-whatsapp-facebook-2fa-security-codes-leak-online/