Neseniai internete buvo aptikta neapsaugota duomenų bazė, kurioje – milijonai dviejų faktorių autentifikavimo kodų, gautų SMS žinutėmis. Ši bazė buvo lengvai pasiekiama bet kam, rašo „Forbes“.
Asociatyvi „Pixabay“ nuotr.
Ši žinia buvo paskelbta dar iki visame pasaulyje antradienį sutrikus „Meta“ valdomų socialinių tinklų „Facebook“, „Messenger“, „Instagram“, „Threads“ veiklai.
Neapsaugotą bazę, neturinčią slaptažodžio, aptiko saugumo tyrėjas Anuragas Senas. Bet kas, žinantis duomenų bazės IP adresą, galėjo ją pasiekti įprastai naudodamasis internetu.
Už šią duomenų bazę buvo atsakinga Azijos bendrovė „YX International“. „TechCrunch“ žurnalistams susisiekus su ja, įmonė duomenų bazę iškart apsaugojo.
Per dieną į „YX International“ valdomą duomenų bazę patenka iki 5 mln. SMS žinučių, įskaitant ir slaptažodžių atkūrimo nuorodas, dviejų faktorių autentifikavimo kodus, skirtus prisijungti prie „Google“, „WhatsApp“, „Facebook“ ar „TikTok“.
Kad tokia duomenų bazė nebuvo apsaugota – tikrai šokiruoja. Visgi raminama, kad dviejų faktorių autentifikacijos kodų galiojimo laikas – itin trumpas, tad didelės rizikos vartotojams neturėtų kilti ir tuoj pat keisti slaptažodžių nebūtina. Nors dėl saugumo slaptažodžius reguliariai vis atnaujinti derėtų.
Ar tai reiškia, kad neturėtumėte naudoti SMS žinučių dviejų faktorių autentifikavimo kodams gauti?
Jake'as Moore'as, ESET kibernetinio saugumo patarėjas, aiškino, kad tai tikrai daug geriau nei tiesiog įprastas slaptažodis. Visgi grėsmių išlieka, tad vertėtų domėtis, kokie yra naujausi ir geriausi būdai apsaugoti savo paskyras, rašo „Forbes“.
Nors jis taip pat pripažino, kad saugumas ir patogumas eina išvien, tad daugelis tikrai nesirinks kitų būdų, o liks prie SMS žinučių, nes kol kas toks būdas yra vienas patogiausių.