L'ultima violazione degli SMS potrebbe consentire agli hacker di accedere ai propri account online

Oltre 26 milioni di messaggi di testo potrebbero essere stati violati a causa di un database non protetto gestito dalla società di telecomunicazioni Vovox. Il ricercatore della sicurezza informatica Sebastien Kaul ha scoperto che il database non protetto non era nemmeno protetto da password e le informazioni contenute in tali messaggi includono password in testo normale, codici di autenticazione a due fattori, codici di sicurezza dell'account, informazioni di tracciamento per spedizioni di pacchi, codici di ripristino dell'account e persino medici promemoria degli appuntamenti. In particolare, questi messaggi includono comunicazioni da banche, istituzioni mediche e ospedali, Yahoo, Google, Microsoft e Huawei.

Quando uno sviluppatore invia un codice di autenticazione a due fattori o quando un utente richiede un collegamento di login tramite messaggi di testo, "sono aziende come Voxox che fungono da gateway e convertono quei codici in messaggi di testo, da trasmettere alle reti cellulari per la consegna al telefono dell'utente ", ha osservato TechCrunch del ruolo di Vovox nel mantenimento di un database non protetto di messaggi SMS. SMS, che sta per servizio messaggi brevi, è un altro nome per i messaggi di testo inviati sulla rete di un corriere.

Da allora Vovox ha tirato il database, e in questo momento non è chiaro se le informazioni contenute nel database siano state accessibili da un attore malintenzionato. Oltre ad avere informazioni sul numero di cellulare del destinatario, il database offriva potenzialmente un hacker vicino all'accesso in tempo reale ai link di reimpostazione della password e ai codici di autenticazione a due fattori. Ciò mette a rischio molti account. Il co-fondatore e CTO di Vovox Kevin Hertz ha detto a TechCrunch in una e-mail che la società sta indagando sulla violazione e che sta anche "valutando l'impatto".

Secondo Kaul, il database conteneva record con informazioni dettagliate sul messaggio. "Ogni registrazione è stata meticolosamente etichettata e dettagliata, compreso il numero di cellulare del destinatario, il messaggio, il cliente Voxox che ha inviato il messaggio e lo shortcode utilizzato", ha affermato TechCrunch.

Sebbene utilizzato con credenziali di accesso , la verifica SMS offre una protezione maggiore rispetto a un semplice utilizzo di nome utente e password, più di recente gli esperti di sicurezza hanno emesso avvisi sulla vulnerabilità dei sistemi SMS. In primo luogo, i ricercatori hanno avvertito che i messaggi SMS potrebbero essere intercettati e questa ultima violazione ne è un ottimo esempio. Di conseguenza, gli esperti dicono che l'utilizzo di app di autenticazione o chiavi di sicurezza USB basate su hardware, come le chiavi Titan di Google , sono opzioni più sicure quando si tratta dell'autenticazione a più fattori.

• Smishing sembra divertente, ma è una seria minaccia alla sicurezza del tuo telefono
• Come proteggere il tuo account iCloud
• La California ha approvato una legge che regola la sicurezza dei dispositivi Internet of Things

( Fonte )