ここ数年、Facebook やYahooなどの大企業による多数のデータ侵害により、オンライン データベースが脆弱になる傾向があることに私たちは警戒するようになりました。しかし、ほとんどの場合、SMS が潜在的な犯人のリストから簡単に逃れてしまうという、パスワードの用語やオンラインで入力するデータの影響を想像します。
TechCrunchによる最近の調査により、SMS を悪用してさまざまなアカウントを簡単にハイジャックできることが判明しました。企業に SMS サービスなどを提供するクラウド通信会社 Voxox のサーバーには、パスワードなしでアクセスできる可能性がありました。データベースは現在オフラインですが、損傷はすでに発生している可能性があります。 Voxoxは現在、その影響を評価中だとしている。
このセキュリティの欠如により、ハイジャッカーは「ほぼリアルタイムのテキスト メッセージ ストリーム」に簡単に侵入できるようになったと報告されています。この脆弱性は、ドイツのバグ賞金稼ぎ、セバスチャン・カウルによって発見されました。このデータベースは、より広い範囲を対象とし、通常は企業によって管理されていないデータベースのパブリック プラットフォームである Shodan 経由で入手できました。
Kaul は、名前、リアルタイムのワンタイム パスワード、インターネット バンキング コード、さらには 2 要素認証キーなどの情報を簡単に絞り出すことができる、きちんと積み重ねられたメタデータを備えた2,600 万件のテキスト メッセージに簡単にアクセスできました。
公に公開されている膨大な種類のデータには目を見張るものがあります。 TechCrunch がデータベースが侵害された場合に悪用される可能性があると指摘したサービスは次のとおりです。
- Viber メッセンジャー、オンライン クイズ アプリ HQ Trivia、一部の医療施設などのサービスの初回認証コード
- Google、Yahoo、Booking.com、Fidelity Investments に関連するアカウントにアクセスするための 2FA コードおよびアクセス コード
- Microsoft および Huawei アカウントのパスワード リセット リンクとコード
- Amazon からの発送通知と、認証情報なしで追跡するためのリンク
- さらに、ロサンゼルスを拠点とする出会い系アプリ Badoo の暗号化されていない、保護されていないパスワードも
これらの調査結果を調査した別のセキュリティ研究者ディラン・カッツ氏も、「すでに悪用されている可能性」について警告しています。もしそうなった場合、その範囲は、データが漏洩したと報告されているユーザーに壊滅的な影響を与える可能性があります。
2FA には SMS ではなく Google 認証システムを使用する
この漏洩の影響は現時点では測定できませんが、2 要素認証を目的として有効期間の短い数値コードを生成する Google Authenticator アプリ ( 無料) を使用することをお勧めします。ただし、認証はデバイス上で実行され、データはクラウドに保存されないことに注意する必要があります。これによりセキュリティは強化されますが、スマートフォンを紛失したり盗難に遭ったりすると、ロックアウトされる可能性があります。