Voxox 簡訊資料庫遭洩,暴露簡訊認證安全問題
一個安全失誤導致一個龐大的資料庫遭到洩露,該資料庫中的數千萬條簡訊中包含了密碼重置連結、雙因素認證程式碼以及快遞通知等等。
出問題的伺服器屬於 Voxox(即之前的 ofollow,noindex">Telcentris ),這是一家位於加州聖地亞哥的通訊公司。伺服器沒有密碼保護,任何知道該去哪兒窺視的人都能看到近乎實時的簡訊資料流。
就駐柏林的安全研究員塞巴斯蒂安·考爾(Sébastien Kaul)來說,他沒用多長時間就找到了。
儘管考爾是在 Shodan(一個面向公開可用裝置和資料庫的搜尋引擎)上找到這個無遮無攔的伺服器的,但 Voxox 自家的一個二級域名同樣指向了它。更糟糕的是,這個在亞馬遜 Elasticsearch 上執行的資料庫還配置了 Kibana 前端,使得其中的資料易於讀取、瀏覽以及按照姓名、手機號碼和簡訊內容進行檢索。
洩露簡訊的示例,圖中這條包含了使用者的手機號碼和微軟賬戶重置驗證碼。(圖片來源:TechCrunch)
當我們收到一家公司發來的簡訊時,不管那是亞馬遜的快遞通知還是登陸服務的雙因素認證程式碼,大多數人並不會去想幕後所發生的事情。通常,像 HQ Trivia 和 Viber 這樣的應用開發商,他們會採用 Telesign 和 Nexmo 這些公司提供的技術,要麼用於驗證使用者的手機號碼,要麼是傳送雙因素認證程式碼。不過,在其中 充當閘道器 和負責把那些程式碼轉換為文字資訊通過蜂窩網路傳送到使用者手機的乃是 Voxox 這樣的公司。
在 TechCrunch 發出問詢後,Voxox 已將資料庫離線。在關閉時,該資料庫上似乎擁有年初以來的逾 2600 萬條簡訊。不過,我們可以從資料庫的視覺化前端檢視到平臺每分鐘處理的簡訊數量,它表明實際的數字可能更高。
每條記錄都經過精心標記,並擁有詳細資訊,包括收件人的手機號碼、資訊內容、傳送資訊的 Voxox 客戶以及他們使用的短程式碼。
通過對資料進行粗略審查,我們發現:
- 我們發現約會應用 Badoo 用明文簡訊把一個密碼傳送給了一個位於洛杉磯的手機號碼;
- Booking.com 的幾家合作伙伴用簡訊傳送六位數雙因素認證程式碼,以用於登陸該公司的外聯網路;
- 富達投資集團也向一個屬於芝加哥盧普區的號碼傳送了六位數安全驗證碼;
- 很多簡訊中包含了拉丁美洲谷歌使用者的雙因素認證程式碼;
- First Tech Federal Credit Union 是一家總部位於加州山景城的聯邦特許信貸聯盟,他們同樣在簡訊中以明文形式把一個臨時銀行密碼傳送給了一個屬於內布拉斯加州的手機號碼;
- 我們發現亞馬遜傳送的快遞通知簡訊,其中附帶了一個連結,點進去就能看到包裹物流資訊,包括 UPS 運單號以及一路前往佛羅里達州目的地途經的地點;
- 訊息應用 Kakao Talk 和 Viber 以及問答應用 HQ Trivia 使用 Voxox 的服務來驗證使用者的手機號碼;
- 我們還發現了包含有微軟賬戶密碼重置驗證碼和華為賬號驗證碼的簡訊;
- 雅虎同樣使用該服務通過簡訊傳送一些賬戶金鑰;
- 一些中小型醫院和醫療機構傳送簡訊給患者進行預約提醒,在某些情況下還提供了賬單查詢。
“是的,這非常糟糕。”安全研究員迪倫·卡茨(Dylan Katz)在對一些調查結果進行審查後如是說。
且不論個人資訊和手機號碼遭到洩露,能夠近乎實時地讀取雙因素認證程式碼可能讓無數賬戶面臨被劫持的風險。在某些情況下,網站只需要一個手機號碼便能完成賬戶重置。黑客通過暴露的資料庫獲取文字資訊,這樣劫持一個賬戶可能只需要幾秒鐘。
“我真正擔心的是這樣一種可能性,即這已經遭到濫用。”卡茨說,“這與大多數洩漏事件不同,由於資料具有臨時性,所以一旦資料庫離線,任何洩露出去的資料都不是很有用了。”
Voxox 的聯合創始人兼首席技術官凱文·赫茲(Kevin Hertz)在一封電郵中表示,該公司“目前正在調查這件事,並遵循標準資料洩露政策進行操作”,並且該公司也在“評估影響”。
包括 Facebook、Twitter 和 Instagram 在內的很多公司已經推出了基於應用的雙因素身份認證,以拋棄 基於簡訊的認證 ,後者長期以來一直被認為很容易進行攔截。
如果說要給簡訊認證易於攔截舉個例子,那麼這次洩露事件倒是非常應景了。
翻譯:王燦均(@何無魚)
A leaky database of SMS text messages exposed password resets and two-factor codes
UNDER Getty Image LICENSE