Autentifikácia cez SMS nie je bezpečná už niekoľko rokov.
Upozorňujú na to bezpečnostné firmy, medzi nimi napríklad ESET. Túto tézu uvádzame aj kvôli tomu, že hackeri zneužili API nezabezpečeného koncového bodu. To umožnilo hackerom podvrhnúť autentifikáciu v službe Authy. Používatelia by sa mohli stať zraniteľnými cez overenie SMS formou alebo tzv. swap SIM útokom. Server Bleeping Computer podľa informácií od firmy Twilio (Authy je produkt tejto firmy) ďalej objasňuje situáciu.
Služba Authy funguje ako mobilná aplikácia a generuje vám kódy do iných internetových služieb, aby ste mohli používať viacfaktorovú autentifikáciu. Na konci júna osoba s pseudonymom ShinyHunters zverejnila CSV súbor, ktorý podľa jeho tvrdení obsahuje 33 mil. telefónnych čísiel registrovaných v službe Authy. CSV súbor môžete poznať aj vy, napríklad pri exporte dát z Excelu. Je voľne čitateľný aj v Poznámkovom bloku.
Firma vydala stanovisko, že prijali opatrenia na zabránenie ďalšími útokom tohto typu. Podľa nich nezaznamenali žiadne informácie o tom, že by hackeri získali prístup do systémov firmy Twilio. Ďalej informovali o tom, aby používatelia aktualizovali aplikácie pre Android a iOS na najnovšie verzie.
Aj keď CSV súbor obsahoval iba telefónne čísla bez mien používateľov, stále je tu riziko zneužitia. Aj takýto súbor môže byť pre páchateľov užitočný. Prelomiť 2FA nie je len tak a hackeri musia vedieť správne postupy. Nakoniec musia mať aj tzv. „biznis plán“, ktorý speňaží ich úsilie.
Zdroj: Bleeping Computer
Prečítajte si aj: