Un ricercatore di sicurezza ha scoperto un database non protetto che regola l'accesso ai servizi di alcune delle più grandi aziende tecnologiche del mondo. Il database appartiene a un operatore di routing di servizi di messaggi brevi (SMS) responsabile dell'invio di codici di autenticazione a due fattori (2FA) agli utenti di Meta, Google e possibilmente aziende crittografiche.
Il ricercatore Anurag Sen ha scoperto che il database YX International dell'azienda è stato esposto senza password su Internet pubblico. Chiunque conoscesse l'indirizzo IP (protocollo Internet pubblico) poteva visualizzare i dati.
Utenti interessati dalla perdita di autenticazione a due fattori
YX International invia codici di sicurezza alle persone che accedono alle piattaforme appartenenti a Meta, Google e TikTok. L'azienda garantisce che i messaggi degli utenti vengano instradati rapidamente attraverso le reti mobili in tutto il mondo. Tra i messaggi che invia ci sono codici di sicurezza che fanno parte di uno schema di autenticazione a due fattori utilizzato da molte grandi aziende per proteggere gli account degli utenti.
Alcuni fornitori di servizi, come Google, possono inviare un codice SMS per verificare l'autenticità di un utente dopo aver inserito una password. Altre opzioni di autenticazione includono la generazione di un codice da un'app di autenticazione per integrare una password.
Per saperne di più: Le 15 truffe crittografiche più comuni a cui prestare attenzione
Anche se l’autenticazione a due fattori mira a migliorare la sicurezza, non è una soluzione miracolosa. Di conseguenza, l'exchange di criptovalute Coinbase avverte che 2FA è una misura di sicurezza minima, ma non è infallibile . Gli hacker possono ancora trovare un modo per rubare fondi dai portafogli crittografici.
“Anche se la 2FA mira a migliorare la sicurezza, non è infallibile. Gli hacker che acquisiscono i fattori di autenticazione possono comunque ottenere l'accesso non autorizzato agli account. I modi più comuni per farlo includono attacchi di phishing, procedure di recupero dell'account e malware. Gli hacker possono anche intercettare i messaggi di testo utilizzati nella 2FA", ha affermato Coinbase.
I criminali utilizzano questi metodi per sconfiggere la 2FA
L’anno scorso sono emerse segnalazioni di criminali che aggiravano la 2FA sui dispositivi Apple. Un hacker potrebbe accedere alla piattaforma cloud di Apple, iCloud, e sostituire il numero di telefono di un utente con il proprio. Lo schema metteva a rischio i fondi nelle app di portafoglio crittografico sui dispositivi Apple poiché alcune applicazioni avrebbero potuto inviare codici di autenticazione a numeri di telefono compromessi.
I criminali possono anche utilizzare gli scambi di SIM per mettere in atto truffe crittografiche con autenticazione a due fattori . In questa linea di attacco i criminali convincono operatori di telefonia mobile come AT&T o Verizon a trasferire un numero di telefono dal legittimo proprietario al truffatore. Successivamente, il criminale ha bisogno solo di un'altra informazione per accedere a un'app portafoglio di autocustodia di proprietà del vero proprietario del numero di telefono.
Considerato l’impennata della tecnologia quantistica, Apple ha recentemente migliorato la sicurezza del suo dispositivo hardware Secure Enclave integrato negli iPhone. Lo schema di crittografia post-quantistico crea nuove chiavi ogni volta che un attore malintenzionato ne compromette una vecchia.
Questa funzionalità potrebbe aiutare gli sviluppatori di portafogli crittografici a migliorare la sicurezza crittografica dei propri clienti archiviando informazioni critiche nel Secure Enclave. Finora, almeno un fornitore ha già utilizzato Secure Enclave per concedere l’accesso alla propria app portafoglio.
Per saperne di più: Cos'è una chiave privata in Crypto?
BeInCrypto ha contattato Binance, il più grande scambio di criptovalute al mondo, e Coinbase per commentare se la fuga di dati di XY International abbia influenzato i loro utenti. Nessuna delle due società aveva risposto al momento della stampa.
Il post Hacker espone perdite di codici di autenticazione a due fattori è apparso per la prima volta su BeInCrypto .